文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

VoidProxy平台对多因素认证的绕过机制与防御对策研究

,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...此外,平台提供批量会话管理界面,允许攻击者按租户、用户角色、令牌有效期筛选高价值会话,并一键导出用于自动化数据窃取脚本。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。即使攻击者窃取Access Token,也无法在其他连接中使用。

21310
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...所提出的纵深防御体系,从策略控制、实时拦截、事后审计到行为监控,形成了闭环防护。实践表明,仅靠技术手段不足,必须结合身份治理流程与用户认知提升,方能有效应对这一“合法外衣下的非法访问”。

    22110

    Office开发者计划-永久白嫖Office365

    权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...:证书和密码->添加客户端密码 ​ 确认完成在列表处可以看到生成的记录,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

    11.2K32

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    伪品牌验证流程嵌套:伪造Microsoft登录页后,跳转至“安全验证”页面,要求用户输入短信验证码,实则完成MFA劫持。此类攻击利用用户对协作工具的信任及多任务处理时的认知负荷,显著提升欺骗成功率。...Graph PowerShell)枚举用户;利用New-MailboxExportRequest导出高管邮箱;部署Cobalt Strike Beacon并通过合法CDN分发勒索载荷。...4.2 检测层:行为异常识别用户行为分析(UBA):建立基线模型,监控登录时间、地理位置、设备指纹、API调用频率等维度。...例如,某用户通常在工作日9–18点从上海登录,若凌晨3点从莫斯科发起/me/drive/root/children请求,应触发高风险告警。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    21710

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    一旦授权完成,攻击者即可通过device_code兑换令牌,获得与用户同等的API访问权限。...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...例如:阻止从非托管设备或异常地理位置发起的设备代码授权;要求所有OAuth令牌请求必须来自合规设备;对包含敏感权限(如Mail.ReadWrite)的令牌请求强制二次审批。...组织应开展针对性培训,强调:微软绝不会通过邮件/短信要求用户“输入设备代码”;所有授权操作应明确显示请求权限的应用名称与发布者;用户可在 https://mysignins.microsoft.com/

    12110

    .NET周报 【6月第4期 2023-06-25】

    ASP.NET Core利用AuthenticationMiddleware中间件完成针对请求的认证,并提供了用于登录、注销以及“质询”的API,本篇文章利用它们使用最简单的代码实现这些功能。...Microsoft Forms 是使用 .NET Framework 4.7.2 的 WebForms 和 Web API 构建的微服务,但前端 REST API 和后端 REST API 服务已迁移到...【日文】尝试将应用提交到 Microsoft Store-Qiita https://qiita.com/dhq_boiler/items/781b2ef98ce26a090566 说明从向 Microsoft...【英文】使用委派权限和 Microsoft Graph 在 ASP.NET Core 中重置密码 https://damienbod.com/2023/06/19/reset-passwords-in-asp-net-core-using-delegated-permissions-and-microsoft-graph.../ 了解如何在 ASP.NET Core 应用程序中使用 Microsoft Graph 重置用户密码。

    1.6K20

    全新OneDrive时代:AI与生产力

    将于 2024 年底提供公共预览版 Microsoft Graph 数据连接 (MGDC):我们通过将 OneDrive Sync Health Reports 与 MGDC 集成来改进它们,允许管理员将数据导出到...从今天开始到未来几周,此重新设计将向 Android 用户推出,iOS 用户将在 11 月收到更新。 增强的照片搜索- 在回忆的海洋中很难找到特定的照片。我们升级了搜索功能,让您搜索自己的说话方式。...此搜索功能已开始向 Microsoft 365 订阅者推出,我们计划在 2025 年夏季之前向所有用户推出。...简单的照片分享-OneDrive 可帮助你轻松与他人共享,即使他们没有 OneDrive 帐户。只需轻轻一按,您就可以直接通过您最喜欢的消息应用程序发送全分辨率照片,无需链接或登录。...对于那些在以前的设备的其他云服务中拥有旧照片的用户,我们建议使用我们新的文件导入功能 Android 和 iOS。

    1.2K10

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹,系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...它不依赖漏洞利用或密码破解,而是利用授权机制本身的设计特性与用户心理弱点,实现高效渗透。本文通过技术还原攻击链,证实了从应用注册到数据窃取的可行性,并据此提出分层防御策略。

    19310

    Windows Community Toolkit 3.0 新功能

    提供新的包用来写 runtime API 的检查 提供 Microsoft Graph 控件 现有的大量控件 对所有控件支持亮主题和暗主题 性能提升和修改bug 新的支持...因为 UWP 开发需要指定最低平台,而且对不同的平台可以不同的 API ,以前只能通过看文档才知道现在有哪些API是可以使用的,现在可以安装Microsoft.Toolkit.Uwp.PlatformSpecificAnalyzer...Microsoft Graph 控件 支持 Microsoft Graph 控件,可以快速在 Xaml 使用 Microsoft Graph 控件。...同时 AadLogin 支持通过 Microsoft Graph 服务器使用Azure Active Directory (AAD) 登陆。 ?...PeoplePicker 从 一个组织的 AD 里面选择一个或多个用户的控件 ? SharePointFileList 让用户可以在点击文件夹或文件时快速预览 SharePoint 文件 ?

    1.9K10

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    一、引言近年来,随着企业向云办公平台(如Microsoft 365、Google Workspace)的大规模迁移,身份认证体系逐步从传统的用户名/密码模型转向基于令牌(token)的现代协议,其中OAuth...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...,所有授权请求必须经IT审批;监控异常授权行为:通过Microsoft Defender for Cloud Apps或自建SIEM规则,检测以下信号:新注册应用请求高权限;用户短时间内多次授权不同应用...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    15310

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs..." # 从AiTM获取headers...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...(audit_logs)df['timestamp'] = pd.to_datetime(df['CreationTime'])# 按用户统计每小时共享次数hourly_shares = df.groupby...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

    22010

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    向 Azure AD 请求设备代码client_id = "ATTACKER_APP_ID" # 攻击者注册的恶意应用IDscope = "https://graph.microsoft.com/.default"resp...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...监控异常 OAuth 授权行为使用 Microsoft Defender for Cloud Apps 或第三方 SIEM 工具,设置告警规则,例如:单个用户短时间内授权多个新应用;应用请求权限与其业务场景不符...芦笛总结道,“企业必须从‘被动防御’转向‘主动狩猎’。”五、行业反思:便利与安全的天平该如何摆?设备代码钓鱼的流行,暴露出一个深层矛盾:现代身份协议在追求用户体验的同时,是否牺牲了安全可见性?

    11710

    如何用TensorFlow和Swift写个App识别霉霉?

    下面我会分享从收集“霉霉”照片到制作使用预训练模型识别照片的 iOS 应用的大体步骤: 预处理照片:重新调整照片大小并打上标签,然后切分成训练集和测试集,最后将照片转为 Pascal VOC 格式 将照片转为...我虽然没时间找几千张标记了 Taylor Swift 名字的照片,然后训练一个模型,但是我可以利用从 TensorFlow Object Detection API 中预训练模型里提取出的特征,这些模型都是用几百万张图像训练而成...为了让训练更省时一些,我写了个脚本重新调整了所有照片的大小,确保全部照片宽度不超过600px。...用户选择照片后,会触发程序将照片上传至 Cloud Storage: let firestore = Firestore.firestore()func imagePickerController(_...发出预测请求:用 Firebase 函数向 ML Engine 模型在线发起预测请求。从 APP 到 Firebase Storage 的上传会触发 Firebase 函数。

    16.8K10

    议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢

    如引用议员三天前在辩论中的原话,或附上一张真实会议照片(从议会官网下载),再叠加一个“补充材料”链接。...一旦用户双击,Windows会自动加载DLL,触发Cobalt Strike Beacon回连。案例2:滥用Microsoft Teams链接更狡猾的是,部分攻击直接利用合法协作工具。...若用户输入账号密码,凭证将被窃取;若已启用MFA,攻击者则采用Adversary-in-the-Middle(AitM)代理,实时转发验证码请求,实现“会话劫持”。...以下是一个基于Microsoft Graph API的示例:# check_forwarding_rules.pyimport requestsGRAPH_API_URL = "https://graph.microsoft.com..."ACCESS_TOKEN = "your_app_token_with_mail_read_permissions"def get_inbox_rules(user_email):url = f"{GRAPH_API_URL

    9710

    Facebook Graph API(2)--读取数据之picture

    Picture(图片) 在Graph API中提到图片不是照片的。此处的picture是指用户的头像,组,事件或应用和相册的图片。所以使用avatar也不是很好,毕竟不仅仅是用户头像。...所以需要设置access_token=token.但是facebook graph api目前没有给出不用访问令牌时,每个小时的最大访问次数。 5.内容审核 因为这个api是去读取对象的图片。...打个比方:应用时限制18岁以上成人使用,应用必须获取用户的授权,并且确定用户的年龄大于18岁。 6.支持头像的对象 可以使用picture参数的对象有上面这些。...这也是facebook不取名为avatar,因为不仅仅是用户的头像,还有其他很多对象使用picture. 6.图片尺寸 可以设置type参数来指定图片的大小尺寸 直接设置width和height来返回指定的大小的图片...目录:Facebook Graph API Graph API(1)-介绍:http://www.cnblogs.com/liminjun88/archive/2013/03/01/2938569.html

    3.4K70

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...标准流程如下:受限设备向授权服务器(如Azure AD)请求设备代码;服务器返回一个短时效的device_code和用户需手动输入的user_code;用户被引导至 https://microsoft.com...一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...芦笛坦言,“这迫使我们必须放弃‘按威胁类型防御’的思路,转向‘按风险行为防御’。”五、如何构建下一代身份防线?面对这一混合威胁,微软与安全社区提出多层次应对方案。...(4)员工培训升级:从“防链接”到“防授权”培训内容需更新:任何要求“输入代码到微软登录页”的请求都需警惕;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs “FileShare

    12410

    52 个有用的机器学习与预测API

    ,或者从某个分类中添加或者删除某张人脸图片。...FaceRect: 提供了非常强力与完整的面部检测的 API ,包括在正面照片与侧面照片中检测面部以及在单张照片中提取多个面部的功能;它还能将结果以 JSON 格式输出,包括检测到的眼睛、鼻子、嘴等等面部特征...Microsoft Cognitive Service – Computer Vision: 该 API 能够根据用户输入与用户选择分析可视化内容。...该 API 同样允许开发者查询翻译报价、上传带有文档说明与样式指南的翻译项目请求、自动追踪翻译进度以及进行实时反馈等。...BigML: 提供基于云的机器学习与数据分析服务,允许用户以 HTTP 请求的方式自己创建数据源以及选择合适的模型来处理有监督或者无监督的机器学习任务。

    2.2K100

    Auto-Tinder-训练AI玩打火机刷卡游戏

    上图中显示的内容是从请求发送到链接的请求,该请求是在tinder.com着陆页加载时发出的。显然,tinder具有某种内部API,正在使用它们在前端和后端之间进行通信。...https://api.gotinder.com/v2/recs/core 通过分析/ recs / core的内容,可以清楚地看到此API端点返回附近人员的用户个人资料列表。...如果复制图像URL并在私人窗口中打开它,它仍然会立即加载-这意味着tinder将所有用户图像公开上传到Internet,任何人都可以自由查看。 通过API可访问的原始照片具有极高的分辨率。...如果将照片上传到tinder,将按比例缩小以适合应用程序内使用,但会将原始版本公开存储在其服务器上,任何人都可以访问。...从Person类开始。它应接收API数据,tinder-api对象,并将所有相关数据保存到实例变量中。

    1.8K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券