Microsoft Graph API -已拒绝此请求的管理预订API授权 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...关键点在于：多租户应用（multi-tenant app）允许任何组织的用户自行同意，除非管理员显式禁用此功能。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...同时，在SSO门户嵌入“已授权应用”自助管理页面，鼓励用户定期审查。

2211 0

PwnAuth——一个可以揭露OAuth滥用的利器

授权服务器授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。...范围范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...资源所有者可以选择同意或拒绝此授权请求。 3.同意后，授权服务器将使用授权码重定向应用程序。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...依据API资源，企业可用的选项差异很大，但通常包括： · 限制第三方应用程序可以请求的API范围。

2.4K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

芦笛指出，“Azure AD 默认允许任何注册应用发起设备代码请求，而企业管理员往往不知道这一功能的存在，更未限制其使用范围。”...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...管理员应评估是否真的需要此功能（如无 IoT 设备集成需求），若否，则全局禁用。...必须教育员工：任何要求你访问 aka.ms/devicelogin 的请求都需先联系 IT 确认；授权前务必点击“查看此应用将访问哪些数据”；若未主动发起设备登录，绝不要输入任何代码。...芦笛建议，“例如，在设备代码授权页面强制显示应用名称、开发者信息、请求权限列表，并用红色高亮‘此操作将授予第三方长期访问权限’。”

1161 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。...即使用户撤销授权，若攻击者已导出refresh_token，仍可续期访问。

1191 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面（如Microsoft Entra ID中的“应用权限”面板），但多数企业在实践中存在以下问题：第一，授权可见性不足。...，检测以下信号：新注册应用请求高权限；用户短时间内多次授权不同应用；授权后立即调用高风险API（如批量导出邮件）。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1511 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

此方法绕过了对钓鱼页面UI的依赖，更具隐蔽性。...Volexity观测到，部分攻击甚至在受害者拒绝参与后，仍会请求“推荐一位可能感兴趣的人选”，形成社交链式传播。3 企业防御体系构建面对此类协议级钓鱼攻击，传统防病毒或邮件过滤已显不足。...“第三方应用限制”策略，要求所有新应用必须经管理员审核：Admin Console > Security > API controls > App access control > Restrict external...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:...；在授权前检查OAuth请求中的client_id是否属于可信实体（可通过公开数据库查询）。

2051 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

分析指出，当前企业普遍存在的第三方应用管理缺失、用户对OAuth机制认知不足以及平台默认宽松的授权策略，共同构成了该攻击得以成功的基础条件。...2025年初，多家安全机构报告了多起利用此手法的攻击事件。...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

1921 0

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

你有没有在登录某个小工具或第三方应用时，看到过这样的提示：“此应用想要访问你的Microsoft 365邮箱、日历和文件”？...启用第三方应用管理员审批在Microsoft Entra ID（原Azure AD）中开启“用户无法自行同意应用”策略，所有新应用授权必须经IT管理员审核。此举可阻断90%以上的恶意应用注册。2....同时，定期审查已授权应用列表（路径：Microsoft 365门户 > 账户 > 应用权限），删除不再使用或可疑的“影子应用”。3....定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。...三步自保即便不是企业员工，普通Office 365用户也应警惕：授权前看清楚：仔细阅读应用请求的权限范围，拒绝“过度索取”；定期清理授权：访问 https://account.microsoft.com

2721 0

将终结点图添加到你的ASP.NET Core应用程序中

在终结点路由系统中将图形公开为终结点具有如下优点和缺点：您可以轻松地向终结点添加授权。您可能不希望任何人都能查看此数据！图形终结点显示为系统中的终结点。这显然是正确的，但可能会很烦人。...：图形中没有/graph终结点，您无法轻松地将授权应用于此终结点！...安装Microsoft.AspNetCore.Mvc.Testing 将测试项目的元素更新为Microsoft.NET.Sdk.Web"> 从测试项目中引用您的...在Visual Studio中，您可以通过以下方式查看此输出：打开“测试资源管理器”，导航到GenerateGraph测试，然后单击“为此结果打开其他输出”，这将以选项卡的形式打开结果： ?...GenericWebHostService 启动：中间件管道已建立服务器（Kestrel）开始侦听请求。需要注意的重要一点是，直到您的IHostedServices的执行后中间件管道才会建立。

5.2K2 0

凭证窃取主导下的现代网络攻击链演化与防御体系构建

思科最新全球威胁态势报告指出，凭证窃取已连续多个周期稳居初始入侵矢量首位，其背后驱动因素包括密码复用行为的普遍性、生成式人工智能（GenAI）赋能的社会工程精细化，以及SaaS生态爆炸式增长带来的权限管理复杂化...思科2025年发布的全球威胁态势报告明确指出，超过68%的已确认入侵事件以凭证窃取为初始入口，远超漏洞利用（19%）与恶意软件投递（13%）。...此类攻击模式的成功，暴露出当前身份管理体系的多重脆弱性：弱密码策略、缺乏多因素认证（MFA）覆盖、OAuth授权过度宽泛、会话令牌生命周期管理缺失等。...此过程中，攻击者无需部署恶意软件，全程利用合法API调用，规避传统EDR检测。思科报告显示，73%的勒索事件中，攻击者在获得凭证后4小时内完成数据加密或外传。...典型场景包括：邮件+Teams/Slack消息联动：先发送看似合法的发票邮件，再通过即时通信工具“跟进”：“您收到财务部的付款请求了吗？请尽快确认。”

2171 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一旦攻击者控制企业高管或IT管理员的邮箱、云文档或身份管理后台，即可利用B2B协作信任链发起供应链攻击——例如伪造合作方邮件、篡改共享合同、或通过合法API导出敏感数据。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...Microsoft Entra ID已支持此功能，可通过条件访问策略强制：# Azure AD PowerShell: 要求FIDO2且禁止非托管设备New-AzureADMSConditionalAccessPolicy...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。

2121 0

Office开发者计划-永久白嫖Office365

（需要通过上述应用构建的开发者账号（管理员）进行登录），登录之后需要结合提示，手机配合下载Microsoft Authenticator进行权限验证和管理，完成注册之后通过验证则激活成功（后续有关该账号的活动则可通过软件进行授权...自动续期的项目有在线类的项目也有本地软件方式，其主要思路为注册Azure应用程序，申请api 授权项目/程序自动调用账号下的应用api 创建注册应用【在Azure后台仪表盘下申请】，...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门

11.2K3 2

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

该链接表面指向一个常规文档，实则加载伪装成Microsoft 365登录界面的钓鱼页面，并在用户输入凭证后实时中继多因素认证（MFA）请求，实现凭证与会话令牌的双重窃取。...，申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围，并诱导用户授权（或利用已窃取的管理员令牌静默授权）。...搜索并下载敏感文档：利用Graph API遍历OneDrive与SharePoint中的文件夹，下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...再者，OAuth授权管理普遍薄弱，高管账户往往拥有广泛权限，而IT部门缺乏对第三方应用授权的主动审计机制。...以下Python脚本利用Microsoft Graph API实现授权审计：import requestsdef audit_oauth_apps(user_token):headers = {"Authorization

1821 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...此外，用户面对频繁的授权弹窗易产生“点击疲劳”，对权限请求缺乏审慎评估。这些因素共同构成了高级OAuth钓鱼的温床。...EvilProxy则更进一步，利用OAuth的prompt=none参数实现静默授权。该参数指示授权服务器在用户已登录且先前已授予权限的情况下，不显示任何UI直接返回令牌。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2601 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

OAuth滥用：攻击者诱导用户授权一个看似无害的第三方应用（如“PDF Viewer”、“Calendar Sync”），该应用请求过度的API权限（如Mail.ReadWrite, Calendars.ReadWrite...您的凭据不会被提交。请勿刷新或尝试绕过此页面。您的IT管理员已收到告警。...无Graph API集成：当前版本不自动撤销会话或令牌，需管理员手动响应。权限范围审慎：扩展需activeTab与storage权限，虽无敏感权限，但仍需用户信任。...7 未来工作方向CyberDrain团队已规划以下增强功能：OAuth授权页面监控：检测异常权限请求，阻止过度授权。...与Microsoft Graph API联动：在检测到钓鱼后，自动调用/revokeSignInSessions终结用户所有活动会话。

1921 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...（2）审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限：https://account.microsoft.com/privacy/管理员则可通过PowerShell...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。...培训应聚焦：任何要求“输入代码到微软登录页”的请求都需高度警惕；即使链接是 microsoft.com，也可能被用于授权恶意应用；授权前务必确认应用名称是否可信（如“Microsoft Teams” vs

1121 0

Multi-Agent全面爆发！一文详解多智能体核心架构及LangGraph框架

收到预订成功的确认后，向主管汇报结果并结束\n" "注意：每次只处理一个预订请求，完成后立即结束，不要重复调用工具。"...收到预订成功的确认后，向主管汇报结果并结束\n" "注意：每次只处理一个预订请求，完成后立即结束，不要重复调用工具。"...当用户需要预订酒店时使用此工具。"...当用户需要预订航班时使用此工具。"...", ) @tool("book_hotel") def book_hotel(hotel_name: str): """预订酒店 - 当用户需要预订酒店时必须调用此工具""" print

1.8K6 2

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

3）查看WebApi的作用域　　选择管理=》公开 API 复制 WebApi的作用域 4）查看WebApi的终结点复制当前应用程序的 OAuth 2.0令牌终结点(v2)链接，注意圈起来的...此处应该有掌声，成功的通过验证，并且获取到 api资源，但是这种模式是最不推荐的，因为client可能存了用户密码，此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

2.9K1 0

kubernetes API 访问控制之：准入控制

API的请求会经过多个阶段的访问控制才会被接受处理，其中包含认证、授权以及准入控制（Admission Control）等。如下图所示：需要注意：认证授权过程只存在HTTPS形式的API中。...---- 准入控制准入控制（Admission Control）在授权后对请求做进一步的验证或添加默认参数，在对kubernetes api服务器的请求过程中，先经过认证、授权后，执行准入操作，在对目标对象进行操作...在对集群进行请求时，每个准入控制插件都按顺序运行，只有全部插件都通过的请求才会进入系统，如果序列中的任何插件拒绝请求，则整个请求将被拒绝，并返回错误信息。...AlwaysDeny 拒绝所有请求，一般用于测试。 DenyExecOnPrivileged（已弃用）该插件将拦截所有请求。...当有多个Storage Class被标记为默认值时，它也将拒绝任何创建，管理员必须重新访问StorageClass对象，并且只标记一个作为默认值。

7433 1

ASP.NET Core 中支持 AI 的生物识别安全

读卡器和摄像头注册为物联网 (IoT) 设备，并将录制的数据流式传输到 Azure IoT 中心。 Microsoft 认知服务将此人与已授权进入建筑的人员数据库进行比较。...然后在访问控制器的 Post 操作中检索此声明，并将其作为 API 响应的一部分返回。启用此自定义授权进程的最后一个步骤是注册 Web API 内的处理程序。...与人脸识别一样，语音识别也需要预注册已授权的人员。说话人 API 将已注册人员称为“个人资料”。注册个人资料时，将录制说话人陈述特定短语时的语音，然后提取一些特性，并识别已选定的短语。...此异步方法准备包含音频流和识别个人资料 ID 的多部分请求消息，并向特定终结点提交 POST 请求。若 API 的响应为 HTTP 代码 202（已接受），则返回值为在后台运行的操作的 URI。...之后说明了如何使用相关的认知服务 API 完成人脸和语音识别，来作为基于已预授权或已注册人员个人资料的生物识别信息限制访问的机制。

2K2 0

点击加载更多

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

PwnAuth——一个可以揭露OAuth滥用的利器

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

基于OAuth滥用的定向钓鱼攻击与防御机制研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

将终结点图添加到你的ASP.NET Core应用程序中

凭证窃取主导下的现代网络攻击链演化与防御体系构建

VoidProxy平台对多因素认证的绕过机制与防御对策研究

Office开发者计划-永久白嫖Office365

基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

Multi-Agent全面爆发！一文详解多智能体核心架构及LangGraph框架

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

kubernetes API 访问控制之：准入控制

ASP.NET Core 中支持 AI 的生物识别安全

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐