Microsoft Graph API:从站点默认驱动器获取所有DriveItems :无效的Url - 腾讯云开发者社区

文章/答案/技术大牛

发布

IIS 8：IIS 入门

有更改到您的文件系统，支持默认的 Web 站点和其他 IIS 存储需求，如日志文件和可自定义的错误消息。安装在您的主驱动器，C:\inetpub 上创建新的路径（请参阅图 3)。 ?...您将使用此为管理任务和用于获取有关您的 Web 站点，信息，所以您应该导入的 WebAdministration 模块和查阅新的驱动器： PS C:\> Get-ChildItem...您创建的目录的文件系统上，将您的文件（Web 页）添加到目录中，并创建一个网站来分享这些页面到世界。一个 Web 站点从叫做"绑定"被配置为该 Web 站点中获取其"共享名称"。...在这种情况下，绑定是所有端口 80 的请求，因此，这里都是 URL： HTTP://:80 因为 80 端口是默认浏览器中的，您不需要键入的 — 但这样做有助于你看到一个...现在你可能开始问很多问题："移动默认 Web 站点吗？如何创建我自己的网站？如何配置 DNS 的我的网站?"所有这些问题，再加上更多，将会在即将举行有关 IIS 的文章回答。

6.5K5 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件：GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...刷新令牌生命周期过长：默认情况下，Microsoft Entra ID的刷新令牌有效期可达90天，且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。...Microsoft Graph提供/revokeSignInSessions API，可编程终止可疑会话：import requestsdef revoke_suspicious_sessions(user_id..., access_token):url = f"https://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers

2461 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...区别于传统钓鱼研究聚焦于邮件内容或 URL 检测，本文强调从身份平台治理视角重构安全策略，确保在不牺牲协作效率的前提下阻断攻击入口。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0

1710 0

Microsoft 365 E5 Renew X 部署教程

Microsoft 365 E5 Renew X Microsoft 365 E5 Renew X是一款网页版的E5续订服务，其依赖网页浏览器呈现支持用户多端操作，完全将E5账户API调用托管在了服务器端因此用户无需电脑也可使用...Microsoft 365 E5 Renew X 由来 Microsoft 365 E5 Renew X为Microsoft 365 E5 Web的升级版，相对于旧版其增强了管理功能且更容易部署，API...主要功能用户端两种可选的调用权限：用户未登录作为守护程序调用(需要客户端密码)、程序以登录用户身份直接调用(需要账户密码) API种类齐全：41/30个可选的Microsoft Graph REST...API Beta中的API(未来可能会继续添加) 完全随机的API调用模式：从已选定的API序列中随机抽取一个或几个进行调用（个数和API随机）完全随机的API调用时间间隔：随机区段1000s-2000s...如果端口是开的话访问就有界面了使用域名并开启https简略教程：添加站点添加反向代理目标URL：http://127.0.0.1:1066 发送域名：$host 添加证书开启HTTPS

4.1K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...3 现有防御机制的局限性3.1 默认允许用户自助同意多数企业未修改Entra ID默认策略，允许用户对多租户应用自行授权。...可编写脚本每日比对已知可信应用列表，自动调用撤销接口：def revoke_consent(grant_id, admin_token):url = f"https://graph.microsoft.com...所提出的纵深防御体系，从策略控制、实时拦截、事后审计到行为监控，形成了闭环防护。实践表明，仅靠技术手段不足，必须结合身份治理流程与用户认知提升，方能有效应对这一“合法外衣下的非法访问”。

2431 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹，系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制，但实际部署中普遍存在以下问题：4.1 第三方应用授权策略宽松默认情况下，Microsoft Entra ID允许所有用户注册和授权第三方应用。

2671 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph...值得注意的是，此过程中攻击者从未接触用户密码，且所有用户交互均发生在微软域名下，因此传统钓鱼检测工具（如邮件网关URL扫描、浏览器警告）完全失效。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...例如：阻止从非托管设备或异常地理位置发起的设备代码授权；要求所有OAuth令牌请求必须来自合规设备；对包含敏感权限（如Mail.ReadWrite）的令牌请求强制二次审批。

2441 0

如何利用机器学习和Gatsby.js创建假新闻网站

该框架使用一些web资源，如HTML、CSS和JavaScript，通过各种api加载数据，然后将所有这些资源加载到带有预抓取资源的站点中。...稍后，我们将使用Git从GitHub中提取必要的文件，这样本地文件系统中的所有文件都能与云服务器中的资源相匹配，并且可以进行自动部署。...其他的插件不太重要，就不介绍了。 gatsby-node.js 此文件用于实现api。这些api可以使用GraphQL从数据层中获取数据。在处理程序化页面生成时，我们将更深入地研究这个文件的内容。...这个API的好处在于它保存并缓存了谷歌驱动器文件夹的内容，所以即使您的驱动器发生了什么事情，文件还是安全的。...创建页面的两个大步骤是: 1)为本地文件系统中的每个标记文件创建slugs(或唯一的url) 2)使用页面模板使用slugs和通过GraphQL获取的其他信息创建实际的web页面。

5.4K6 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Workspace账户的访问权限，从而合法获取高权限令牌。...OAuth应用，而redirect_uri指向其控制的钓鱼站点。...在Microsoft Entra ID中，可配置“用户同意设置”，禁止用户向未批准的应用授予权限：# PowerShell: 禁止用户同意所有应用Set-MgPolicyAuthorizationPolicy...以下Python脚本利用Google Admin SDK Directory API列出某用户的所有OAuth客户端授权：from googleapiclient.discovery import builddef...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

2821 0

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

点击后跳转至钓鱼站点，界面与Google Docs几乎一致，仅URL略有差异（如 docs-google[.]com 而非 docs.google.com）。...页面不仅复刻了Microsoft 365登录界面，还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...即使攻击者获取用户名，也无法完成登录。...强化邮件网关：多跳URL解析 + 内容隔离部署支持URL沙箱的安全网关，自动点击邮件中所有链接，追踪跳转链，渲染最终页面并分析内容。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph

2541 0

Office开发者计划-永久白嫖Office365

)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响程序中所有API均可调用部分API权限受限无法调用(官方限制) API权限配置可由PC版程序自动配置添加API权限必须手动配置API...权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择 “委托的权限”配置（用户登录）（选择...，点击选择复制值（即客户端密码） b.API调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具，可用于生成和测试对 Microsoft Graph API 的请求 ...API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft Graph API 发出请求的工具：Postman&Microsoft...Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门： a.选择语言或平台 b.获取应用 ID（客户端 ID） c.生成示例

11.4K3 2

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

其成功不仅依赖加密算法的强度，更取决于能否高效获取目标系统的初始访问权限。...攻击流程如下：用户点击钓鱼邮件中的链接，访问攻击者控制的仿冒登录页（如secure-microsoft-login[.]xyz）；该页面实际是一个反向代理，将用户所有请求（包括输入的用户名、密码、MFA...以下Python脚本模拟检测异常会话（基于Microsoft Graph API）：import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...= "your_app_token"USER_ID = "user@contoso.com"def get_user_signins(user_id):url = f"https://graph.microsoft.com...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN

2941 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

他们搭建一个伪装成文档共享页面的钓鱼站点（常托管于Cloudflare Workers等无服务器平台），诱导受害者：复制一段看似随机的“设备代码”；前往真实的微软设备登录页（https://microsoft.com...# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...（2）审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限：https://account.microsoft.com/privacy/管理员则可通过PowerShell...例如，若某账户在短时间内从不同国家调用Graph API，即使Token合法，也应触发二次验证。（4）员工意识培训需升级传统“别点可疑链接”已不够。

1771 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

更令人不安的是，这种攻击对多因素认证（MFA）几乎免疫——即使你启用了短信或 Authenticator 验证，只要在微软官网输入了那串“设备代码”，攻击者就能绕过所有防线，直接获取访问令牌（Access...OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...Proofpoint 发现，部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行，IP 地址来自正常办公区域（攻击者使用代理或已控跳板机），行为模式与日常办公高度相似。...四、企业自救指南：三步堵住“合法后门”面对如此高阶的攻击，企业不能坐以待毙。芦笛与安全社区共同提出以下防御策略：1. 禁用不必要的设备代码授权在 Azure AD 中，默认所有租户都启用了设备代码流。

3061 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

一、引言近年来，随着企业向云办公平台（如Microsoft 365、Google Workspace）的大规模迁移，身份认证体系逐步从传统的用户名/密码模型转向基于令牌（token）的现代协议，其中OAuth...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权...import requestsdef revoke_consent(user_id, app_id, access_token):url = f"https://graph.microsoft.com/

1911 0

50个能帮你节省时间的开发工具

MDN MDN Web Docs 站点提供有关开放的 Web 技术的信息，包括用于 Web 站点和渐进式 Web 应用的 HTML、CSS 和 API 等技术。...被 Microsoft、Google 和大量的开发测试团队所选择，Axe 是世界领先的可访问性工具包。官网：https://www.deque.com/axe/ ? Axe 17....Git Graph Visual Studio Code 的 Git Graph 扩展。帮你查看存储库中的 Git 图，并轻松地从视图中执行 Git 操作。可以随心配置为你想要的样子！...Keycode 获取任意键的 JavaScript 事件键码官网：https://keycode.info/ ? Keycode 27....Check My Links “Check My Links”是一个链接检查器，可爬取你的网页并查找无效链接。

2.2K5 0

聊聊Spring AI Alibaba的OneNoteDocumentReader

implements DocumentReader { public static final String MICROSOFT_GRAPH_BASE_URL = "https://graph.microsoft.com...// Build the URI for fetching pages from the notebook String uri = MICROSOFT_GRAPH_BASE_URL + NOTEBOOK_ID_FILTER_PREFIX.../ Build the URI for fetching pages from the section String uri = MICROSOFT_GRAPH_BASE_URL + SECTION_ID_FILTER_PREFIX...URI.create(MICROSOFT_GRAPH_BASE_URL + "/me/onenote/pages/" + pageId + "/content"); HttpRequest request...请求https://graph.microsoft.com/v1.0/me/onenote/pages/pageId/content获取html结果，再通过jsoup解析title、text，最后通过\

1980 0

ASP.NET虚拟主机的重大安全隐患

设置为数据源中要绑定到 HyperLinkColumn 中的超级链接的 URL 的字段，在此即逻辑驱动器名称。...*/ DriversGrid.DataSource = CreateDataSource(); //将此DataGrid进行数据绑定 DriversGrid.DataBind(); 通过上边介绍的几种主要方法我们就实现了获取系统信息和显示所有逻辑驱动器名称的功能...还存在另外一种代码访问安全性的常见用途，即应用程序将控件从网络 Web 站点直接下载到客户端，这种方式的代码安全性也是可以在客户端进行设置的，根据签名等数据权限证书来确定是不是可以允许下载的控件运行。...在.NET Framework安装后的默认状态下，所有代码都是FullTrust（完全信任）的。...在添加代码组的时候可以选择几种条件，主要的条件类型：默认为All Code、应用程序目录、哈希、强名称、作者、站点等。

2.3K2 0

使用插件将 WordPress 站点 URL 自动提交到 Bing 索引

由于新版的 Microsoft Edge 浏览器市场占有率迅速提升引起微软的必应 Bing 搜索引擎使用量增加，为了更多的收录、展示 WordPress 站点内容，应当第一时间将网址提交到 Bing Webmaster...所以今天给大家带来一款插件 Bing URL Submissions Plugin，它可以将 WordPress 网站中的 URL 自动提交到 Bing 索引。...如何获取 Bing Webmaster API 秘钥登陆 Microsoft Bing Webmaster Tools 官方网站（可设置中文界面），右上角设置→API 访问→API 秘钥。...由于一个账号只有一个 API 秘钥，所以你如果添加多个站点，可以通用。...安装启用并配置运行该插件后，该插件会检测 WordPress 站点中的页面、文章的创建或更新，并自动在后台提交 URL，以确保网站页面始终在 Bing 索引中保持最新。

1.6K2 0

网页错误码详细报错

日志文件的位置在默认状态下，IIS 把它的日志文件放在 %WINDIRSystem32Logfiles 文件夹中。每个万维网 (WWW) 站点和 FTP 站点在该目录下都有一个单独的目录。...• 401.7 – 访问被 Web 服务器上的 URL 授权策略拒绝。这个错误代码为 IIS 6.0 所专用。 ...• 403.16 - 客户端证书不受信任或无效。 • 403.17 - 客户端证书已过期或尚未生效。 • 403.18 - 在当前的应用程序池中不能执行所请求的 URL。...如果试图加载的 ASP 页中含有错误代码，将出现此错误信息。若要获得更确切的错误信息，请禁用友好 HTTP 错误信息。默认情况下，只会在默认 Web 站点上启用此错误信息。...有关如何在非默认的 Web 站点上看到此错误信息的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：261200 显示 HTTP 500 错误信息，而不显示 500-100

8.1K2 0

点击加载更多

IIS 8：IIS 入门

VoidProxy平台对多因素认证的绕过机制与防御对策研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Microsoft 365 E5 Renew X 部署教程

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

如何利用机器学习和Gatsby.js创建假新闻网站

基于OAuth滥用的定向钓鱼攻击与防御机制研究

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

Office开发者计划-永久白嫖Office365

钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

50个能帮你节省时间的开发工具

聊聊Spring AI Alibaba的OneNoteDocumentReader

ASP.NET虚拟主机的重大安全隐患

使用插件将 WordPress 站点 URL 自动提交到 Bing 索引

网页错误码详细报错

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐