流程如下:应用重定向用户至https://login.microsoftonline.com/common/oauth2/v2.0/authorize;微软显示标准同意页面,列出请求的权限范围(scopes...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...3.2 权限范围缺乏上下文解释OAuth同意页面仅列出权限名称(如“Mail.Read”),未说明其实际能力(“可读取所有邮件,包括已删除项”)。用户难以判断风险。...4.2 条件访问:基于权限范围的策略拦截创建条件访问策略,阻止包含高危权限的应用获取令牌:策略逻辑:触发条件:应用请求包含Mail.ReadWrite、User.ReadWrite.All等;操作:阻止登录...4.5 用户培训与权限可视化在内部培训中加入“权限范围解读”模块,例如:Mail.Read = 可读所有邮件;User.ReadWrite.All = 可修改所有用户属性,包括分配管理员角色;offline_access
服务都失效了,在B站偶然刷到相关的内容,刚好满足我的白嫖心理~ 步骤说明 注册Microsoft账号,并加入开发者计划 下载Microsoft365,登录账号并激活 自动续时:保持开发者身份...权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...所需配置 账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响 程序中所有API均可调用 部分API权限受限无法调用(官方限制) API权限配置 可由PC...版程序自动配置添加API权限 必须手动配置API权限 可以选择相应的API进行配置 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门
以授权码模式(Authorization Code Flow)为例,典型步骤如下:用户访问第三方应用:例如点击“使用Microsoft登录”按钮;重定向至Microsoft登录页:URL包含client_id...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...OAuth同意页面虽列出权限,但普通用户难以理解“Mail.Read”意味着“可读取所有邮件”。...尤其当用户将“微软登录页面”等同于“安全操作”时,社会工程成功率极高。此外,微软的默认安全策略偏向可用性。
更危险的是,攻击者还会利用这些权限悄悄创建邮件自动转发规则,将所有收件悄悄抄送给外部邮箱;或设置收件箱隐藏规则,让用户对后续钓鱼邮件毫无察觉。“现在的钓鱼,已经从‘偷钥匙’进化到‘骗你亲手开门’。”...公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...“Mail.ReadWrite”“User.Read.All”等高危权限的第三方应用;监控登录地理与设备指纹突变:比如同一账号在1小时内从北京跳到莫斯科登录;一键响应:自动撤销恶意应用授权、终止可疑会话...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。
;用户在授权服务器页面登录并同意权限请求;授权服务器生成授权码(Authorization Code),通过重定向返回至Client指定的redirect_uri;Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...、权限范围及发布者信息,供用户判断风险。...由于应用名称与图标可自定义,且权限描述使用通用术语(如“读取您的邮件以提供服务”),用户极易误判为合法请求。...= {"Authorization": f"Bearer {token}"}# 列出用户邮箱文件夹resp = requests.get("https://graph.microsoft.com/v1.0
授权服务器 授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同,或者是另一个不同的组件。在本例中,Microsoft登录门户是“授权服务器”。...范围 范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...访问令牌可以在设定的时间段内使用,从API资源访问用户的数据,而无需资源所有者采取任何进一步的行动。...由于所有受害者交互都位于合法资源提供者(例如Microsoft)拥有的网站上,因此未经训练的用户很难区分合法的OAuth应用程序和恶意应用程序。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API
邀请可通过以下方式发起:手动邀请:管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...,用户点击后需使用其现有 Microsoft 账户或工作账户登录,完成接受流程。整个流程符合 OAuth 2.0 与 OpenID Connect 标准,具备端到端加密与令牌绑定。...一旦获得权限,攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件:同一用户在 1 小时内发送超过 5 次邀请响应:自动禁用该用户邀请权限并告警Graph API 查询示例:GET https://graph.microsoft.com/v1.0...;即使绕过(如使用管理员账户),邮件也被标记,用户识别率提升 78%。此外,通过 Graph API 监控,我们能在 5 分钟内检测到异常邀请模式并自动响应。
典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...伪品牌验证流程嵌套:伪造Microsoft登录页后,跳转至“安全验证”页面,要求用户输入短信验证码,实则完成MFA劫持。此类攻击利用用户对协作工具的信任及多任务处理时的认知负荷,显著提升欺骗成功率。...攻击者购得凭证后,通常在24小时内完成以下操作:使用az login --service-principal或gcloud auth activate-service-account登录云环境;通过Get-MgUser...4.2 检测层:行为异常识别用户行为分析(UBA):建立基线模型,监控登录时间、地理位置、设备指纹、API调用频率等维度。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。
启用第三方应用管理员审批在Microsoft Entra ID(原Azure AD)中开启“用户无法自行同意应用”策略,所有新应用授权必须经IT管理员审核。此举可阻断90%以上的恶意应用注册。2....同时,定期审查已授权应用列表(路径:Microsoft 365门户 > 账户 > 应用权限),删除不再使用或可疑的“影子应用”。3....即使令牌被盗,也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心,监控异常令牌活动(如非工作时间、非常用地点),并批量撤销高风险会话。...三步自保即便不是企业员工,普通Office 365用户也应警惕:授权前看清楚:仔细阅读应用请求的权限范围,拒绝“过度索取”;定期清理授权:访问 https://account.microsoft.com.../privacy ,点击“应用权限”查看并移除不用的应用;启用登录活动通知:在微软账户安全设置中开启“异常登录提醒”,第一时间掌握风险。
OI1.png 注册时会要求填写应用程序名以及调整一些设置,应用程序名任意填写即可,把“受支持的账户类型”调整为第三项“所有 Microsoft 帐户用户”,重定向URL改为Web,网址填写https:...//heymind.github.io/tools/microsoft-graph-api-auth并点击注册。...OI4.png 创建完成之后,客户端密码这里就会多出一个值,我们点右侧的复制按钮把它复制下来并妥善保存,待用。 OI5.png 随后我们进入API权限选项卡,把我们需要的API权限添加进来。...点左侧的Microsoft Graph,然后在弹出框中添加入offline_access, Files.Read, Files.Read.All这三个权限,最后点击更新权限即可。...然后我们进入Microsoft Graph API Auth来获取一个token。 OI9.png 复制之后,我们回到token获取工具,看到4.
与仅提供视觉警告的同类工具不同,Check采取“硬阻断”策略,在检测到可疑登录页面时直接禁止表单提交,并向用户和管理员发出告警。...无法防御高度定制化钓鱼页:若攻击者使用全新域名且页面不含关键词,仅靠内容特征可能不足。无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。...权限范围审慎:扩展需activeTab与storage权限,虽无敏感权限,但仍需用户信任。5 与Microsoft 365安全体系的协同Check并非替代现有安全措施,而是作为纵深防御的补充层。...6 安全与隐私考量Check在设计上严格遵循最小权限原则:不请求webRequest或cookies权限,无法读取用户浏览历史或认证Cookie;所有分析在本地完成,无远程服务器接收用户数据;域名指纹库通过...与Microsoft Graph API联动:在检测到钓鱼后,自动调用/revokeSignInSessions终结用户所有活动会话。
AD里面给Swagger注册的客户端应用的Id 6,scp:权限范围,我们为Swagger授权访问WebApi的权限 看到这里,是不是感觉和 Identity Server 4授权验证中心的好多配置特别相似...其实不难看出,这个账号就是我们当前azure portal的登录账号,也是当前订阅的管理员账号,而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号,所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...此处应该有掌声,成功的通过验证,并且获取到 api资源,但是这种模式是最不推荐的,因为client可能存了用户密码,此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点:在为应用配置的所有直接应用程序权限中,终结点应该为与要使用的资源关联的权限颁发令牌 使用共享机密访问令牌请求:https://docs.microsoft.com
文中通过 Python 与 Microsoft Graph Security API 的代码示例,展示如何实现异常登录行为的自动化检测与响应。...:要求受害者“查看手机上的 Microsoft Authenticator 通知并点击 Approve”;横向移动:使用获取的会话访问 Power BI 或自定义校友数据库,导出 CSV 文件;数据外传...禁用推送批准:强制使用 FIDO2 安全密钥或一次性验证码(OTP);启用条件访问策略:基于登录风险动态要求更强验证。...4.2 检测层:基于行为的异常识别即使攻击者获得凭证,其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...此外,通过 Graph API 监控,我们成功捕获了所有模拟的“不可能旅行”与“异常数据访问”事件,验证了检测机制的有效性。
例如,当你用“微信登录知乎”时,知乎会请求获取你的微信昵称和头像,这就是OAuth授权的典型场景。...二、隐蔽性强,危害深远:从数据泄露到勒索前置“这种攻击最可怕的地方在于它的隐蔽性。”芦笛指出,“所有操作都发生在微软的合法授权体系内,日志记录也显示为‘用户授权’,而不是‘异常登录’。...限制用户自助授权,实施管理员审批流企业应立即审查Azure AD中的“用户同意设置”,禁止普通用户对高权限范围的多租户应用进行自助授权。所有第三方应用接入必须经过IT部门审核与批准。...利用条件访问(Conditional Access)策略过滤高风险应用通过Microsoft Entra ID的条件访问功能,可基于应用风险评分、权限范围等条件,阻止用户对可疑应用进行授权。...芦笛预测,“未来,零信任架构、最小权限原则和持续行为监控将成为企业安全的标配。”微软方面也已加强检测机制,通过Graph API活动日志监控异常邮件读取行为,并在用户授权高风险权限时增加警示提示。
在网络安全评估的实际操作中,正确掌握系统命令是迈向成功的第一步。本文精心梳理了Windows环境下进行内网安全测试时最常用且高效的命令集合,为安全工程师提供一份详实的参考指南。...此操作可列举出当前系统内的所有本地账户信息,对于初步评估系统账户安全性具有重要意义。...Yes 允许的工作站 All 登录脚本 用户配置文件 主目录 上次登录 2021/1/31 17:01:25 可允许的登录小时数...特别提醒:设置空口令时使用双引号 1.1.6 账户清理 C:\Users\Administrator> net user testuser /del 命令成功完成。...SID /groups 列出用户的群组归属 /priv 展示安全特权信息 示例1 - 查看当前用户 C:\Users\Administrator> whoami rookit\sqladmin "
该链接表面指向一个常规文档,实则加载伪装成Microsoft 365登录界面的钓鱼页面,并在用户输入凭证后实时中继多因素认证(MFA)请求,实现凭证与会话令牌的双重窃取。...这种依赖客户端渲染环境的反检测手段,使得静态内容扫描难以识别恶意意图。(三)凭证捕获:实时中继与MFA绕过用户点击链接后,被重定向至一个高度仿真的Microsoft 365登录页面(见图1)。...由于整个流程发生在合法TLS通道内,且用户确实完成了MFA,传统基于异常登录告警的机制难以触发。...Tool”的应用,申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围,并诱导用户授权(或利用已窃取的管理员令牌静默授权)。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization
当受害者点击钓鱼链接(如login.microsoft-support[.]com)时,代理实时向目标IdP(如login.microsoftonline.com)发起HTTP请求,获取原始登录页面HTML.../响应中继,并在检测到Microsoft的持久化认证Cookie(ESTSAUTHPERSISTENT)时触发日志记录,供攻击者后续使用。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id
OAuth滥用:利用合法云服务(如Microsoft Azure AD)的第三方应用授权机制,诱导用户授予恶意应用“读取邮件”“发送邮件”等高危权限,绕过传统密码窃取检测。...当攻击采用高度情境化的诱饵时,常规“不要点链接”的宣教难以奏效。...通过Microsoft Graph API定期拉取用户授权的应用列表,比对白名单。若发现未经批准的第三方应用请求Mail.Read、Mail.Send等权限,自动撤销授权并告警。...6 讨论本框架的有效性依赖于几个前提:一是教育机构具备基础的日志采集与API集成能力;二是管理层愿意投入资源维护白名单与风险规则库;三是用户接受一定程度的交互干预(如二次验证)。...因此,安全演练需常态化、场景化,例如模拟“校长紧急转账请求”或“IT部门远程协助”等高仿真剧本,培养用户质疑异常请求的习惯。7 结语WRDSB钓鱼事件揭示了教育信息系统在面对现代网络威胁时的脆弱性。
其成功不仅依赖加密算法的强度,更取决于能否高效获取目标系统的初始访问权限。...攻击流程如下:用户点击钓鱼邮件中的链接,访问攻击者控制的仿冒登录页(如secure-microsoft-login[.]xyz);该页面实际是一个反向代理,将用户所有请求(包括输入的用户名、密码、MFA...的响应;AitM代理截获该响应,提取Cookie后存储,并将页面内容原样返回给用户,使其误以为登录成功;攻击者使用窃取的Cookie,直接访问目标用户的邮箱、OneDrive或Azure门户,无需再次认证...动态码在有效窗口内被使用推送通知(如Microsoft Authenticator) 部分 若用户习惯性批准,仍可绕过FIDO2/WebAuthn(安全密钥) 否(理想情况下) 绑定特定RP(Relying...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN
访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...在配置过程中,管理员可以选择同步所有文件,或将连接器范围限定到特定站点和文件夹,同步的副本将在ChatGPT中显示为'管理员管理'的文件。...用户的SharePoint账户必须与其ChatGPT账户电子邮件匹配。"我猜这意味着用户主体名称必须与创建ChatGPT账户时使用的电子邮件地址匹配,ChatGPT才允许访问同步的文件。...使用Graph权限读取SharePoint的应用示例可在此处找到。...OpenAI的优势在于从微软的困境中学习。OpenAI似乎使用范围限定来限制ChatGPT可以处理的SharePoint内容,这有点类似于受限内容发现的功能。为什么要使用OpenAI连接器?
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
