文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

高级OAuth钓鱼攻击的演化机制与防御体系构建

文中提供了可落地的技术方案,包括精确匹配的重定向URI白名单配置、条件访问策略绑定设备指纹、自动化影子应用审计脚本等,并通过代码示例验证其有效性。...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...以Tycoon为例,攻击者首先在Microsoft Entra ID开发者门户注册一个看似合法的应用(如“SecureDoc Viewer”),声明所需权限(如Mail.Read, Files.Read.All...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

28310
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    通过实际代码示例展示OAuth令牌审计、异常会话检测与SOAR联动强制轮换等关键技术实现,为组织构建面向身份面的新一代安全边界提供可落地的技术路径。...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...例如,一个仅需读取日历的协作工具,常被授予“完全访问邮箱”权限,一旦该应用令牌泄露,攻击者可直接读取高管邮件。...login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token"data = {'client_id': CLIENT_ID,'scope': 'https://graph.microsoft.com...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24710

    【ASP.NET Core 基础知识】--Web API--创建和配置Web API(二)

    Microsoft.EntityFrameworkCore 选择数据库提供程序: 根据你的数据库选择合适的EF Core数据库提供程序,例如,使用SQL Server数据库提供程序: dotnet add...二、实现CRUD操作 2.1 创建资源 在控制器中添加用于创建资源的API端点。通过接收POST请求,将客户端提供的数据映射到数据模型,并添加到数据库中。...三、添加身份验证与授权 在ASP.NET Core Web API中,添加身份验证与授权是确保API端点仅对经过身份验证和已授权的用户可用的重要步骤。...3.3 保护API端点 在需要进行身份验证和授权的API端点上添加Authorize特性,并根据需要指定授权策略: [ApiController] [Route("api/[controller]")]...这是确保Web API安全性的关键步骤。 另外,我们介绍了全局异常处理的实现,帮助在应用程序中统一处理异常,提供一致的错误响应,并记录必要的异常信息以进行调试和监控。

    1.5K01

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    一旦用户输入邮箱(如 alice@contoso.com),页面立即构造一个指向Microsoft Entra ID(原Azure AD)的OAuth授权URL:https://login.microsoftonline.com...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面(如Microsoft Entra ID中的“应用权限”面板),但多数企业在实践中存在以下问题:第一,授权可见性不足。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19010

    Office开发者计划-永久白嫖Office365

    服务都失效了,在B站偶然刷到相关的内容,刚好满足我的白嫖心理~ 步骤说明 注册Microsoft账号,并加入开发者计划 下载Microsoft365,登录账号并激活 自动续时:保持开发者身份...) 自动续订 自动续期 ​ Office 365开发者订阅默认是90天有效期,到期须续期才可继续使用,微软会验证账户内是否应用了所提供的相关API应用、服务等以此来检测开发者身份 ​...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

    11.4K32

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    摘要近年来,随着基于云的身份认证体系广泛应用,OAuth 2.0协议成为现代企业身份联合与应用集成的核心组件。然而,其开放性和灵活性也为新型网络钓鱼攻击提供了可乘之机。...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...未来需推动更细粒度的权限委托机制(如Microsoft Graph Delegated Permissions with Scopes Restriction)。另一个挑战是刷新令牌的长期有效性。

    19710

    GraphRAG:终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等!

    我刚刚发现了目前最好的完全开源的RAG系统,微软AI推出的GraphRAG。GraphRAG是一个数据管道和转换套件,利用各种大型语言模型的强大功能,从非结构化文本中提取有意义的结构化数据。...那么,GraphRAG和传统的基准RAG系统有何不同呢? GraphRAG结合了图结构和RAG,它将文本提取、网络分析、大型语言模型的提示和摘要整合成一个强大的系统。...接着输入cd graph rag进入目录,并输入export graph rag_API_key填入你的API密钥。 你需要创建一个输入文件夹以存放所有文件或文档。...我强烈推荐使用Ollama,它易于设置,只需设置端点即可。 下面提供官方的文档介绍、相关资源、部署教程等,进一步支撑你的行动,以提升本文的帮助力。...快速入门 建议使用 Solution Accelerator 包,该包提供了与 Azure 资源的端到端用户体验。 代码库指南 此代码库展示了如何利用知识图谱记忆结构来增强 LLM 输出。

    2.5K10

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹,系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...该机制极大提升了用户体验,但也引入了新的攻击面:若用户被诱导授权一个恶意应用,攻击者即可绕过所有基于密码和MFA的验证环节,直接通过合法API接口操作账户。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3 攻击技术路径分析3.1 恶意OAuth应用注册与伪装攻击者首先在Microsoft Entra ID公共租户中注册一个新应用。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    25010

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    攻击者仅需支付订阅费或按成功会话分成,即可获得完整攻击能力。这种“按需付费”模式极大扩展了威胁行为者的基数。2.3 AitM攻击原理与MFA绕过机制AitM攻击的核心在于透明代理。...攻击流程如下:用户点击钓鱼邮件中的链接,访问攻击者控制的仿冒登录页(如secure-microsoft-login[.]xyz);该页面实际是一个反向代理,将用户所有请求(包括输入的用户名、密码、MFA...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...SpyCloud数据显示,近半数企业用户曾感染Infostealer,而仅50%的组织能检测到此类感染。6 讨论本文揭示了一个关键矛盾:MFA的有效性高度依赖其部署上下文。...本文通过分析攻击链、评估现有措施局限,并提出融合强认证、会话治理与自动化响应的防御框架,为组织提供系统性应对方案。代码示例验证了会话异常检测与撤销的可行性。

    28610

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    消息中附带一个标准微软短链:**https://aka.ms/devicelogin**(真实有效的微软设备登录入口),并提供一组8位字母数字混合的“设备代码”,例如 XK92-MPQ7。...芦笛解释道,“但攻击者注册了一个伪装成‘Microsoft Security Scanner’或‘Enterprise Compliance Tool’的 OAuth 应用,通过 Azure AD 注册后...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...五、行业反思:便利与安全的天平该如何摆?设备代码钓鱼的流行,暴露出一个深层矛盾:现代身份协议在追求用户体验的同时,是否牺牲了安全可见性?

    28310

    基于Security Copilot的钓鱼邮件智能分拣机制研究

    研究表明,AI驱动的邮件分拣代理并非替代人类分析师,而是通过增强智能(Augmented Intelligence)重构安全运营工作流,为现代SOC提供可扩展、可解释、可进化的防御能力。...2 分拣代理的技术架构与工作原理2.1 系统定位与触发机制分拣代理运行于Microsoft云安全基础设施之上,其激活条件为:用户在Outlook客户端点击“报告 > 钓鱼”;或管理员在Defender门户手动提交可疑邮件...上下文关联:查询Microsoft Graph,确认发件人是否为已知联系人、近期是否有类似通信。...‘您的订阅即将过期’等典型社会工程话术;收件人过去90天未与该发件地址通信。”...Graph API提交反馈import requestsdef submit_feedback(message_id, is_phish, comment):url = f"https://graph.microsoft.com

    25510

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    “这是微软安全中心工单#MS-2026-XXXX,请提供您的计算机名以便接入。”...这为攻击者提供了“合法”落地路径——他们不需要提权漏洞,只需一句“请运行这个诊断工具”。四、技术深潜:攻击如何绕过MFA与EDR?...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...八、结语:信任不能自动化,安全必须人性化Microsoft Teams回拨型钓鱼风暴揭示了一个深刻悖论:我们越是依赖自动化协作工具提升效率,就越容易在人性弱点上失守。

    19610

    ASP.NET Core HTTP日志终极指南:从基础配置到敏感数据脱敏实战

    ASP.NET Core通过内置的HttpLogging中间件提供了开箱即用的支持,您可以根据需求灵活配置和扩展。...本期内容深度涵盖: 在ASP.NET Core项目中启用和配置HTTP日志 日志选项与设置详解 自定义日志与端点级配置 敏感数据脱敏技术 记录HttpClient发出的请求和响应 访问我的网站获取....NET与架构最佳实践 订阅我的通讯提升.NET技能 第一步:启用HttpLogging 只需两个简单步骤: 1️⃣ 在Program.cs中添加中间件: var builder = WebApplication.CreateBuilder...// 禁用特定端点日志 app.MapGet("/health", () => Results.Ok()).DisableHttpLogging(); // 自定义端点日志行为 app.MapPost...,完善的HTTP日志将是您排查问题的救生索。

    36110

    云开发API连接器的最佳练习

    SSL认证需要在订阅下将SSL证书上传到平台。API端点需要通过SSL证书进行认证。 多重认证 多重身份验证(MFA)在用户名和密码之上加了一层额外的保护。...MFA支持的API需要第一因素的用户名和密码以及来自MFA设备的验证码作为第二因素。这些多重因素为API端点提供了更高的安全性。 API响应类型 API的请求和响应类型需要考虑输入和输出的消耗。...下表显示了一些领先的云服务提供商和平台的API支持。...验证API端点 API端点与云平台管理网址不同。API端点通常包括主机,端口和路径。如果它是一个REST API,那么它包括一个访问密钥和一个普通密钥。...了解某些提供程序和平台设置的API速率限制(由用户在一段时间内可以对API端点进行的API请求数),因为它显示了我们可以怎样频繁地调用端点。

    5.3K80

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    通过可执行代码示例,验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出,仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁,必须从身份治理与协议使用规范层面重构企业安全边界。...研究不仅关注攻击表象,更聚焦于协议机制本身的可被利用性,为身份安全治理提供理论支撑与实践方案。...攻击者引导用户访问一个空白页面,并显示如下提示:“请在另一台设备上打开 microsoft.com/devicelogin,输入代码:ABCD-EFGH”同时,攻击者通过WhatsApp联系目标:“为完成注册...user_code=ABCD-EFGH&device_code=xyz...一旦用户分享该URL,攻击者即可提取device_code,并在后台轮询Microsoft令牌端点,等待用户在其他设备上完成授权...Graph API支持查询用户授予的同意记录:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

    27610

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...关键词:OAuth 同意滥用;假冒微软应用;Entra ID;多因素认证绕过;Graph API;条件访问1 引言多因素认证(MFA)作为现代身份安全的核心防线,已在绝大多数企业环境中广泛部署。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...6 结论假冒微软应用通过滥用OAuth用户同意机制,实现了对MFA的有效绕过,构成对企业云环境的重大威胁。本文揭示了其技术本质——并非突破认证边界,而是利用授权流程中的信任漏洞。

    23910

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    2025年英国议会遭遇的定向鱼叉式钓鱼攻击事件揭示了一个重要趋势:攻击者正将政治机构纳入高价值目标清单,意图通过窃取通信内容、操纵内部流程或制造信任危机,间接影响国家决策与公众舆论。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门:POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...,确保端点防护、邮件安全网关等基础能力全覆盖。

    20210

    微服务设计指南

    反过来,智能端点的概念就容易理解了,也就是将与某服务相关的处理都限定在微服务的范畴之内,通信过程中的微服务端点是“智能”的,这也从一个方面体现了微服务“高内聚”的含义,有了高内聚,才能具备自治和独立性,...微服务的好处 微服务可以用于扩展大型系统,也为持续集成和交付提供了巨大的能力。 ?...网关路由(第7层路由,通常是HTTP请求 http://t.cn/EAvTMm4):使用单一入口端点将请求路由到内部微服务的端点,这样服务调用者就不需要自行管理多个独立的端点 请注意,API网关应该始终是一个高可用性和高性能的组件...门面模式(外观模式),是一种Java的设计模式,为子系统中的一组接口提供了一个统一的访问接口,引申自一个前店后厂的生意模式,前面是门面,后面会有进料、生产、包装多个服务。...业务逻辑层集成了基础层的数据,并提供了有意义的业务功能。这将是一个很好的架构,可以为地理上分散的大量用户群提供服务,并通过各种平台访问应用程序。 -END-

    1.7K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券