Microsoft Graph API在单个API调用中获取租户的所有用户消息 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

更具隐蔽性的是，攻击者在邀请邮件的“自定义消息”（Custom Message）字段中植入诱导性文本，例如“您的 Microsoft 365 账户将于今日自动续费 $299.99，请立即联系账单支持取消...邀请可通过以下方式发起：手动邀请：管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...实验设置：租户 A：默认配置（所有成员可邀请）；租户 B：启用“仅限管理员邀请” + 传输规则标记；模拟攻击者账户在两租户中均具备初始访问权限。

1200 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

摘要近年来，攻击者利用Microsoft Entra ID（原Azure AD）的多租户应用注册机制，创建高度仿真的假冒OAuth应用，诱导用户在合法微软授权页面授予高权限（如Mail.Read、User.ReadWrite.All...此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...5 实验验证在测试租户中模拟攻击流程：注册假冒应用，请求Mail.Read + offline_access；使用普通用户账户完成同意；通过脚本每小时读取100封邮件，持续72小时。

2211 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

该机制极大提升了用户体验，但也引入了新的攻击面：若用户被诱导授权一个恶意应用，攻击者即可绕过所有基于密码和MFA的验证环节，直接通过合法API接口操作账户。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...所有API调用均来自微软合法IP，难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制，但实际部署中普遍存在以下问题：4.1 第三方应用授权策略宽松默认情况下，Microsoft Entra ID允许所有用户注册和授权第三方应用。

1981 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

在企业邮箱频频成为网络钓鱼“重灾区”的当下，一个好消息传来：知名网络安全社区CyberDrain近日正式发布一款面向中小托管服务商（MSP）和企业的免费开源工具，专门用于检测和阻断Microsoft 365...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...正如芦笛所言：“在今天的网络攻防中，反应速度决定生死。而自动化，就是你的眼睛和手。”编辑：芦笛（公共互联网反网络钓鱼工作组）

1391 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

消息中附带一个标准微软短链：**https://aka.ms/devicelogin**（真实有效的微软设备登录入口），并提供一组8位字母数字混合的“设备代码”，例如 XK92-MPQ7。...OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下，访问用户在其他服务（如 Google、Microsoft）上的资源。...Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep...(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：#...四、企业自救指南：三步堵住“合法后门”面对如此高阶的攻击，企业不能坐以待毙。芦笛与安全社区共同提出以下防御策略：1. 禁用不必要的设备代码授权在 Azure AD 中，默认所有租户都启用了设备代码流。

1211 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

上一篇结尾我们成功的拿到了 access_token，并且通过 access_token 验证获取到调用Api资源的结果。...通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...参数必传这时候，就又有人问了，为什么这里的 scope 参数的值和上面不一样，确实，我也有这个疑问，后来找到微软官方给我的文档解释道： Microsoft Graph 示例中，该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

2.9K1 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...该流程允许用户在另一台具备浏览器的设备上完成授权，从而获取访问令牌。...）；调用设备授权端点，获取device_code和user_code；通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息，例如：“您的账户需进行安全验证，请立即访问 https://microsoft.com.../devicelogin 并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

1301 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

摘要近年来，随着基于OAuth 2.0协议的身份联合与授权机制在企业级应用中的广泛部署，攻击者逐步将目标从传统凭证窃取转向对授权流程本身的滥用。...劫持授权响应、绕过多因素认证（MFA）等手段，在不获取用户密码的前提下实现持久化账户访问。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...然而，在实际部署中，这些前提常被弱化。

2631 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

一、引言近年来，随着多因素认证（Multi-Factor Authentication, MFA）在企业身份基础设施中的广泛部署，传统基于密码窃取的账户接管攻击已显著受限。...更严重的是，若攻击者获取IdP管理员权限，可直接修改条件访问策略或注册恶意应用，造成全租户级风险。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌，该私钥与TLS连接绑定。即使攻击者窃取Access Token，也无法在其他连接中使用。...IdP与SaaS中的落地；自动化响应闭环：将威胁情报、UEBA与API控制联动，实现“检测-响应-修复”一体化。

2131 0

PowerBI 2020年12月更新 - 小多图与混合模型上线

自定义发布消息我们在管理门户中添加了一个新选项，允许管理员提供自定义消息，该消息在用户从Power BI Desktop发布报告之前显示。 ?...现在可以按用户公开预览Power BI Premium 已在所有要求优先访问权的公共租户中启用了每用户Power BI Premium的公共预览，并且已向全球所有租户推出。...导出单个视觉效果的功能即将推出。接管分页报告数据源的API 新的 “报告–接管组 API”将使您可以将分页报告数据源的所有权转移给授权用户（称为API的用户）。...例如，要更新数据源的详细信息，您必须是数据源的所有者。分页报表的接管API将有助于获取所有权并更新数据源。...开发者新的Admin API和服务主体身份验证可实现更好的租户元数据扫描 Power BI使组织能够采用数据驱动的文化，每个人都可以从数据中获取价值。

10.8K4 0

CodeSpirit 多语言国际化使用指南（Beta）

，避免回退到中文 • 缓存优化：在同一请求中复用已解析的文化信息 5....所有内容显示为英文场景 2：租户设置默认语言 1. 租户管理员在设置中选择默认语言为英文 2. 系统通过 Settings API 保存配置 3. 该租户下的所有用户默认使用英文 4....方法2：通过代码 API 调用 // 清空所有导航缓存 await _navigationService.ClearAllNavigationCacheAsync(); // 清空特定模块缓存（实际上也会清空整个缓存...调用 # 清空所有导航缓存 DELETE /api/navigation/cache # 清空特定模块缓存 DELETE /api/navigation/cache?...通过 Settings API 为每个租户设置 Localization.DefaultLanguage，该租户下的所有用户默认使用该语言（用户仍可自定义）。 Q: 如何添加更多语言？ A: 1.

851 0

.NET周刊【11月第4期 2024-11-24】

它支持多种书籍和漫画格式，并具备全语言支持、丰富的元数据处理、可定制主题和响应式阅读器等功能。用户可分享阅读收藏，项目源代码和文档也可在线获取。...通过展示C#中的具体例子，说明如何利用反射获取枚举的自定义特性，并通过缓存优化反射调用的性能。...Chaffing and Winnowing技术，通过在消息中混入无关信息并添加认证码，实现即使在拥有解密能力的环境中，保证消息安全。...Microsoft.Extensions.AI在.NET生态中作为统一层，方便开发者选择框架和库。...随着使用私有化部署的用户增多，部署过程中的配置复杂性也增加。为解决配置问题，开发了一款基于网页的配置文件生成工具，可以在浏览器中直接生成配置文件内容，提高效率。

1.2K1 0

Office开发者计划-永久白嫖Office365

所需配置账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响程序中所有API均可调用部分API权限受限无法调用(官方限制) API权限配置可由PC...：证书和密码->添加客户端密码确认完成在列表处可以看到生成的记录，点击选择复制值（即客户端密码） b.API调用工具 Microsoft Graph 浏览器是一种基于 Web 的工具...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门...maven依赖，随后编写接口测试主要步骤说明：注册应用、身份验证、API调用其API调用核心思路为创建一个authProvider用户凭据（根据实际身份验证的方式获取，不同渠道构建方式不同

11.2K3 2

究极缝合怪 | Pulsar核心概念和特性解读

在 Pulsar 中，批次被跟踪并存储为单个单元，而不是单个消息。Consumer 将批量处理的消息拆分成单个消息。...多个生产者和一个生产者处理块消息当多个生产者发布块消息到单个主题，这个 Broker在同一个 Ledger里面保存来自不同生产者的所有块消息。...你能够通过receiverQueueSize参数配置队列的长度 (队列的默认长度是1000) 每当 consumer.receive() 被调用一次，就从缓冲区（buffer）获取一条消息。...可以通过admin API在租户下创建多个命名空间。例如，包含多个应用程序的租户可以为每个应用程序创建单独的命名空间。...在许多使用场景中，用户需要对主题设置对应的策略。命名空间更改事件提供了一个简单有效的方式去修改主题级别的策略。

2.6K2 0

CodeSpirit 开发环境搭建及启动指南(更新)

实时推送，配置发布后所有服务自动获取更新，无需重启。...OpenAI（如使用 OpenAI 兼容接口）如果使用 OpenAI 兼容的 API 服务，在配置中心编辑 LLM 配置时修改： • ApiBaseUrl: https://api.openai.com...镜像无法拉取，一般在docker面板或Aspire管理面板的日志中可以看到。建议配置镜像源或科学上网。 2. 关键服务故障，比如Web服务出现故障。 3....关闭不必要的应用程序 2. 调整GreptimeDB内存设置（在Program.cs中） 3....API 调用失败解决方案： 1.

551 0

Azure AD（四）知识补充-服务主体

当应用程序被授予了对租户中资源的访问权限时（根据注册或许可），将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。...2，应用程序和服务主体的关系可以将应用程序对象视为应用程序的全局表示形式（供所有租户使用），将服务主体视为本地表示形式（在特定租户中使用）。...必须在将使用应用程序的每个租户中创建服务主体，让它能够建立用于登录和/或访问受租户保护的资源的标识。单租户应用程序只有一个服务主体（在其宿主租户中），在应用程序注册期间创建并被允许使用。...多租户 Web 应用程序/API 还会在租户中的某个用户已同意使用它的每个租户中创建服务主体。...组织使用的租户，它也使用HR 应用在此示例方案中：步骤说明 1 是在应用程序的宿主租户中创建应用程序对象和服务主体对象的过程。

2.2K2 0

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

这一举措通过提供与Microsoft 365 Copilot类似的能力，即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析，直接向Microsoft...访问通过针对Entra ID的OAuth认证授予，并且仅限于用户可访问的信息，就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...在配置过程中，管理员可以选择同步所有文件，或将连接器范围限定到特定站点和文件夹，同步的副本将在ChatGPT中显示为'管理员管理'的文件。...自Microsoft 365 Copilot推出以来，一个显而易见的问题是Microsoft 365租户在SharePoint Online中存储了一些完全无用的内容。...再加上一些敏感和机密信息本不应出现在AI生成的输出中，你就能理解为什么微软在现实世界（而非精心策划的演示）中难以让Copilot在SharePoint中发挥作用。

1561 0

基于Security Copilot的钓鱼邮件智能分拣机制研究

该代理并非独立产品，而是深度嵌入Microsoft Defender for Office 365的工作流中，支持对用户通过“报告钓鱼”按钮提交的邮件进行实时分析。...2 分拣代理的技术架构与工作原理2.1 系统定位与触发机制分拣代理运行于Microsoft云安全基础设施之上，其激活条件为：用户在Outlook客户端点击“报告 > 钓鱼”；或管理员在Defender门户手动提交可疑邮件...URL与附件扫描：调用Microsoft Defender SmartScreen与Detonation服务，在隔离环境中解析链接跳转路径、检测恶意宏或脚本。...Graph API提交反馈import requestsdef submit_feedback(message_id, is_phish, comment):url = f"https://graph.microsoft.com...5 安全与隐私考量尽管分拣代理运行于微软云环境，其设计遵循严格隐私原则：原始邮件内容不在Copilot中持久化存储；LLM推理在隔离容器中进行，无外部网络访问；所有反馈数据经匿名化处理，不关联具体用户身份

2291 0

OpenStack keystone详解及调优

在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。...1.获取临时Token 我们知道要创建虚拟机，一定是某一租户下的用户来创建的，因此在创建之前用户要获取自己所能访问到的租户（一个用户可以属于多个租户），要想获取用户能访问的所有租户需要从keystone...我们可以使用keystone的标准REST API获取某一用户能访问的所有租户,注意这里不要在请求体中设置租户名。示例请求： ? 示例响应： ?...2.获取用户能访问的所有租户我们使用上一步获取的临时token（a19bc13b46ba459cb3104fa97e414a27），来获取用户demo所能访问的租户，用户所能访问的租户由用户在租户中是否有角色来决定...3.获取指定租户的Token 上一步中我们获取的用户所能访问到租户，接着用户需要从中选择一个租户，作为自己的工作空间，用户在某一租户中才能访问其他非keystone服务，也只能使用指定租户的Token

3.8K6 1

CodeSpirit 开发环境搭建及启动指南

localhost:17109（自动打开） • Web应用: https://localhost:7120（启动后显示具体端口）注意: 实际端口号可能因系统配置而异，请查看Aspire Dashboard获取准确的端口信息...# 考试系统API │ │ ├── CodeSpirit.MessagingApi/ # 消息服务API │ │ ├── CodeSpirit.ConfigCenter/...镜像无法拉取，一般在docker面板或Aspire管理面板的日志中可以看到。建议配置镜像源或科学上网。 2. 关键服务故障，比如Web服务出现故障。 3....# 访问 http://localhost:17109 GreptimeDB启动失败 # 在Aspire Dashboard中查看GreptimeDB状态 # 如果内存不足，可以在Program.cs...关闭不必要的应用程序 2. 调整GreptimeDB内存设置（在Program.cs中） 3.

821 0

点击加载更多

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

高级OAuth钓鱼攻击的演化机制与防御体系构建

VoidProxy平台对多因素认证的绕过机制与防御对策研究

PowerBI 2020年12月更新 - 小多图与混合模型上线

CodeSpirit 多语言国际化使用指南（Beta）

.NET周刊【11月第4期 2024-11-24】

Office开发者计划-永久白嫖Office365

究极缝合怪 | Pulsar核心概念和特性解读

CodeSpirit 开发环境搭建及启动指南(更新)

Azure AD（四）知识补充-服务主体

OpenAI推出企业级SharePoint连接器，挑战Microsoft 365 Copilot

基于Security Copilot的钓鱼邮件智能分拣机制研究

OpenStack keystone详解及调优

CodeSpirit 开发环境搭建及启动指南

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐