Microsoft Graph API:允许在我的用户之外执行移动操作 - 腾讯云开发者社区

文章/答案/技术大牛

发布

directshow使用说明_Process Monitor

大家好，又见面了，我是你们的朋友全栈君。 1....Microsoft 通过DirectShow给多媒体程序开发员提供了标准的、统一的、高效的API接口。...DirectX为了最大限度提高效率而允许用户直接访问硬件，如允许用户直接读写显存，因此，DirectShow也同样具有快速的优势。...应用程序一般不用直接操作过滤器，只需要执行一些较高级的调用，如运行（Run）、停止（Stop）等。...在实现多媒体文件的播放时需要用到上述的接口，这些接口的每个方法只执行一个简单的操作。

2K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

摘要近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授予高权限（如Mail.Read、User.ReadWrite.All...此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...API执行恶意操作：# 读取最近100封邮件headers = {'Authorization': f'Bearer {access_token}'}resp = requests.get('https...3 现有防御机制的局限性3.1 默认允许用户自助同意多数企业未修改Entra ID默认策略，允许用户对多租户应用自行授权。

2431 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...该机制极大提升了用户体验，但也引入了新的攻击面：若用户被诱导授权一个恶意应用，攻击者即可绕过所有基于密码和MFA的验证环节，直接通过合法API接口操作账户。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...6 讨论此类攻击的本质是身份授权机制与用户认知之间的错配。OAuth设计初衷是提升互操作性，但其“一次同意、长期访问”的模型在企业环境中构成重大风险。

2671 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...其典型流程如下：初始接触：通过高可信渠道（如官方邮件、短信）发送诱导信息；心理触发：利用财务损失、账户冻结等紧迫性场景引发用户焦虑；电话引导：提供伪造客服号码，建立“权威”对话；凭证窃取或远程控制：通过话术诱导用户执行危险操作...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0

1710 0

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

实际上，这些工具一旦运行，攻击者即可完全控制终端，执行任意操作：窃取浏览器Cookie、导出凭证管理器密码、横向移动至域控服务器，甚至部署Cobalt Strike Beacon或LockBit勒索软件...“安全网关看到的是‘微软发来的正常通知’，自然放行。”芦笛说，“但攻击者只是借用了这个通道，真正的武器在电话线那头。”此外，部分企业为提升协作效率，允许普通用户安装远程桌面工具。...邮件层：增强Teams通知监控限制Teams外部邀请：在Microsoft 365管理中心配置策略，禁止非组织成员创建团队或邀请用户；监控异常团队命名：通过Microsoft Graph API定期扫描团队名称...，识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体；# 示例：通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...终端层：限制远程工具与权限禁用普通用户安装远程控制软件：通过组策略或MDM（移动设备管理）禁止安装AnyDesk、TeamViewer等；启用应用控制：仅允许可信发布者签名的应用运行；配置EDR告警规则

2221 0

微软Build 2019|发布多项产品、服务，涵盖VRAR、AI、云等领域

用户可以自然地移动头部和双手，直观地触摸和操纵前方的全息图。用户可以执行向两边拨开的手势，然后火星5号运载火箭就会分解成一系列的单独组件。...从视频演示中可以看出，AR版本的Minecraft可以识别周围环境，并在用户移动或拉远拉近手机时，做出正确的响应。...除此之外，《Spatial》赋予《Teams》的强大功能在于使其能够“跨平台”。这意味着，即使用户没有HoloLens，也可以参与到协作之中。...Microsoft Graph 在本次大会中，Microsoft Graph也获得了更新，用户能够将企业客户的业务数据与Microsoft Graph进行整合，并通过Azure Data Factory...对Microsoft Graph的数据迁移进行管理。

1.6K2 0

Cloudflare Workers部署Onedrive直链程序并实现反代下载

最近的更新中支持了由Cloudflare反代下载OneDrive文件，大大缓解了国内电信和移动用户的下载缓慢问题。...//heymind.github.io/tools/microsoft-graph-api-auth并点击注册。...点左侧的Microsoft Graph，然后在弹出框中添加入offline_access, Files.Read, Files.Read.All这三个权限，最后点击更新权限即可。...然后我们进入Microsoft Graph API Auth来获取一个token。 OI9.png 复制之后，我们回到token获取工具，看到4....反代却搞成这样子，委屈屈╥﹏╥…),不过对于移动和电信来说，至少保存保证了绝大部分用户的正常下载，还是有意义的。

7.8K4 0

.NET周报【6月第4期 2023-06-25】

这可能导致用户在操作界面时，服务器宽度被占用。会在无操作情况下自动断开连接，导致不美观的重连接界面及灰色效果。我们将使用微软提供的解决方案来处理这个问题。 C#/.Net的多播委托到底是啥？...Microsoft Forms 是使用 .NET Framework 4.7.2 的 WebForms 和 Web API 构建的微服务，但前端 REST API 和后端 REST API 服务已迁移到...关于 Nifuku 移动后端 (NCMB) 社区对 SDK 的推送通知操作的支持以及如何使用它。...【英文】使用委派权限和 Microsoft Graph 在 ASP.NET Core 中重置密码 https://damienbod.com/2023/06/19/reset-passwords-in-asp-net-core-using-delegated-permissions-and-microsoft-graph.../ 了解如何在 ASP.NET Core 应用程序中使用 Microsoft Graph 重置用户密码。

2.2K2 0

将终结点图添加到你的ASP.NET Core应用程序中

在我的下一批那文章中，我再创建一个自定义的writer来生成自定义的图如上篇文章所示。...如果有异步方法，理想情况下，我们将能够执行以下操作： // Create a stream writer that wraps the body await using (var sw = new StreamWriter...除了可以用来确认应用程序整体正确运行的传统“端到端”集成测试之外，我有时还喜欢编写“健全性检查”测试，以确认应用程序配置正确。...您可以使用，在Microsoft.AspNetCore.Mvc.Testing中暴露的底层DI容器中的WebApplicationFactory设施实现。...这避免了公开（可能敏感）的终结点图，同时仍然允许轻松访问数据。最后，我讨论了何时可以在应用程序的生命周期中生成图形。

5.3K2 0

AI赋能开发者？微软用边缘计算解决问题，谷歌FB亚马逊却主要卖广告 | Build 2017

如果用一句话总结微软在该公司年度开发者大会Microsoft Build 2017上想要强调的微软AI发力方向，可以说是“最好的AI是让用户感受不到的AI”。...微软 CEO 萨提亚·纳德拉、微软全球执行副总裁兼云计算与企业事业部负责人 Scott Guthrie 以及微软全球执行副总裁兼人工智能及微软研究事业部负责人沈向洋轮番登台，讲述微软在新的一年的布局和产品调整...第二个重点是Microsoft Graph的拓展更新，微软表示深耕Microsoft Graph（知识图谱）多年，现已结合了对现实世界的情景认知，能够为工作提供更多的便捷和安全。...认知服务实验室提供的第一个人工智能服务是手势API，它允许用户通过手势进行控制和互动，从而创造出更加直观和自然的操控体验。...在Build大会上，我们向开发者提供了关于Microsoft Graph的更多细节。它允许用户使用来自其组织内的数据来推动人工智能转型。

1.5K6 0

Office开发者计划-永久白嫖Office365

服务都失效了，在B站偶然刷到相关的内容，刚好满足我的白嫖心理~ 步骤说明注册Microsoft账号，并加入开发者计划下载Microsoft365，登录账号并激活自动续时：保持开发者身份...->点击切换按钮为是随后保存 API权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问...API权限受限无法调用(官方限制) API权限配置可由PC版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph...Graph 浏览器是一种基于 Web 的工具，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 ...Postman 是一个可用于向 Microsoft Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例

11.4K3 2

Microsoft Graph 的 .NET 6 之旅

这是一篇发布在dotnet 团队博客上由微软Graph首席软件工程师 Joao Paiva 写的文章，原文地址： https://devblogs.microsoft.com/dotnet/microsoft-graph-dotnet...Microsoft Graph 是一个 API 网关，它提供了对 Microsoft 365 生态系统中数据和智能的统一访问。...我将向您详细介绍我们是如何将 Microsoft Graph 构建到现在这样海量服务中的过程。...我使用 span 的常见方法之一是字符串操作。字符串操作是老的 .NET 代码库中的常见陷阱。由于无休止的连接给GC带来了压力，最终反映在更高的CPU成本上，旧模式通常会导致字符串分配的爆炸式增长。...此时，您应该已完成第 2 阶段（在我上面图片中），并准备好执行 A/B 测试并开始实施。

1.8K1 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计：import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

2861 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...原因很简单：MFA 验证的是“用户身份”，而非“授权对象”。当用户在微软官网完成 MFA 验证后，系统认为“这是本人操作”，于是放心地将权限授予请求的应用。...Proofpoint 发现，部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行，IP 地址来自正常办公区域（攻击者使用代理或已控跳板机），行为模式与日常办公高度相似。...部署条件访问（Conditional Access）策略限制高风险操作（如令牌颁发）仅允许从受信任设备、网络或地理位置发起。

3081 0

如何用短信完成XSS？

Verizon Messages（Message+）是Verizon推出的一款开放跨平台信息交换应用程序，它允许用户在更多的无线设备中交换和共享信息。...目前，该软件客户端支持跨平台使用，包括移动设备、桌面设备和Web端，并提升了VZW文字短信的用户体验度。...Verizon的邮件信息服务是跨平台的，此前只能够通过采用电话拨号的方式进行发送和接收，而新的应用程序将允许用户通过互联网在更多的无线设备上接收消息，并允许用过通过计算机对邮件账户进行管理。...但是这款应用除了SMS短消息之外，还提供了一些其他的额外功能，而这些功能是我非常感兴趣的。 ? 在我安装好了Android端App并完成注册之后，我又登录了Web端App并开始使用这款应用。...通过让锚点以內联的形式强制覆盖用户的整个屏幕，我们可以利用“onmouseover”事件在打开消息的一瞬间触发代码执行： ?

1.7K5 0

使用SemanticKernel 进行智能应用开发（2023-10更新）

这将有助于创建一个可互操作的插件生态系统，可用于所有主要的AI应用程序和服务，如ChatGPT，Bing和Microsoft 365。...由于SK来自Microsoft，因此它有一个用于Microsoft Graph [14]的OOTB插件集成了大量的Microsoft 服务。...最值得注意的是，提示流允许您编写本机和语义函数链，并将它们可视化为图形。这使你和团队的其他成员能够在 Azure ML Studio和本地使用 VS Code 轻松创建和测试 AI 支持的功能。...若要成功执行此操作，应用程序需要具有跟踪功能。性能优化：通过跟踪应用程序性能指标，您可以确定瓶颈和需要优化的区域。这种数据驱动的方法可确保应用程序以最佳状态运行，从而增强用户体验。...在这篇文章中，我向你介绍了如何使用SK完成各种任务的学习总结，例如创建和执行计划，编写语义和本机函数等等。

2.2K3 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

在传统钓鱼攻击中，攻击者需要自行搭建邮件服务器、伪造发件人地址，并设法绕过垃圾邮件过滤器。而在本案例中，攻击者只需在SharePoint中执行“共享”操作，微软的基础设施便会自动代劳发送邮件。...横向移动：利用受害者的联系人列表，发送带有恶意附件或链接的邮件。由于邮件来自受信任的内部账户，收件人的警惕性极低，从而导致攻击在企业内部迅速扩散。...攻击者通常在非受管设备上操作，此策略可直接阻断其访问。地理位置与网络限制：对于异常地理位置的登录请求（如用户常驻地之外的国家），强制要求进行额外验证或直接阻止。...以下是一个基于Python的示例，演示如何利用Microsoft Graph API查询SharePoint共享活动，并基于启发式规则识别异常模式。...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志（实际部署中需处理分页和API限流）。

1081 0

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

一旦得手，攻击者可立即利用Graph API遍历收件箱，提取包含财务、合同、人事等关键词的邮件线程，自动生成极具欺骗性的横向钓鱼内容，形成指数级扩散。面对此类攻击，仅依赖邮件层防护已显不足。...即使该账户近期行为异常（如大量创建共享），若未与UEBA（用户与实体行为分析）系统联动，仍会被视为正常操作。...以下为通过Microsoft Graph API创建条件访问策略的示例：policy = {"displayName": "Block risky logins to SharePoint","state...4.5 用户教育：识别“二次登录”陷阱应培训用户注意以下信号：OneDrive共享页面突然要求“重新登录”；共享描述模糊（如“重要文档”而非具体文件名）；评论区出现非协作相关的链接；移动端与桌面端页面结构明显不一致...会话的User-Agent、IP、地理位置是否与共享创建者一致？通过构建会话图谱（Session Graph），将文件访问、登录、API调用等事件关联，可有效识别异常跳转链。

3231 0

微软Copilot大会员来了：每月20刀，人人都能用

其原因在于个人版不支持微软的 Graph 技术。...除了在 Office 上的集成之外，Copilot Pro 还包括对最新 OpenAI 大模型的访问、Designer 中 Image Creator（以前称为 Bing Image Creator）的改进以及自定义...即使不是 Microsoft 365 用户，你也可以通过仅订阅 Copilot Pro 的方式优先访问 Copilot 中的 GPT-4 Turbo。...毫无疑问，每月 20 美元在互联网服务中属于比较高的价格（Microsoft 365 本体的价格是每月 6.99 美元）。...去年，该服务仅面向 300 人以上的大型企业，目前微软已经取消了这一限制，允许绝大多数企业用户以每人每月 30 美元的价格订阅服务。

1.1K1 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...4.2 实施严格的用户与管理员同意策略Azure AD允许管理员配置“用户可以同意应用访问其数据”的策略。...组织应开展针对性培训，强调：微软绝不会通过邮件/短信要求用户“输入设备代码”；所有授权操作应明确显示请求权限的应用名称与发布者；用户可在 https://mysignins.microsoft.com/

2481 0

点击加载更多

directshow使用说明_Process Monitor

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

你打出去的“客服电话”，正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板，回拨型攻击席卷全球企业

微软Build 2019|发布多项产品、服务，涵盖VRAR、AI、云等领域

Cloudflare Workers部署Onedrive直链程序并实现反代下载

.NET周报【6月第4期 2023-06-25】

将终结点图添加到你的ASP.NET Core应用程序中

AI赋能开发者？微软用边缘计算解决问题，谷歌FB亚马逊却主要卖广告 | Build 2017

Office开发者计划-永久白嫖Office365

Microsoft Graph 的 .NET 6 之旅

高级OAuth钓鱼攻击的演化机制与防御体系构建

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

如何用短信完成XSS？

使用SemanticKernel 进行智能应用开发（2023-10更新）

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

微软Copilot大会员来了：每月20刀，人人都能用

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐