文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Office开发者计划-永久白嫖Office365

​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择 “委托的权限”配置(用户登录)(选择Calendars->Calendars.Read)...调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅...,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​...c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门: a.选择语言或平台 b.获取应用 ID(客户端 ID) c.生成示例 d.登录,然后查看日历上的事件 PHP...maven依赖,随后编写接口测试 ​ 主要步骤说明:注册应用、身份验证、API调用 其API调用核心思路为 创建一个authProvider用户凭据(根据实际身份验证的方式获取,不同渠道构建方式不同

11.4K32

开放授权之道:OAuth 2.0的魅力与奥秘

请求授权: 客户端将用户重定向到授权服务器,并包含以下信息: 客户端标识 请求的范围(资源访问的权限) 重定向 URI,用于接收授权码或访问令牌 用户授权: 资源所有者(用户)在授权服务器上登录...这一步通常包括用户身份验证和授权范围的确认。...无效重定向URI的检测: 对于恶意客户端的保护,授权服务器应该能够检测到无效的重定向URI。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务,例如使用Google Drive API或Microsoft Graph API,以实现对云存储和办公应用的访问。...不包含对身份验证的具体规范,仅用于授权。 通常用于访问受保护的资源,如API。 OpenID Connect: 在OAuth 2.0的基础上,添加了一套用于验证用户身份的标准化流程。

85811
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...ChatGPT SharePoint连接器的描述说:"管理员管理的同步连接器允许管理员进行一次身份验证并在整个组织内部署。用户无需自行设置任何内容 - 它直接工作。...在配置过程中,管理员可以选择同步所有文件,或将连接器范围限定到特定站点和文件夹,同步的副本将在ChatGPT中显示为'管理员管理'的文件。...使用Graph权限读取SharePoint的应用示例可在此处找到。...OpenAI似乎使用范围限定来限制ChatGPT可以处理的SharePoint内容,这有点类似于受限内容发现的功能。为什么要使用OpenAI连接器?

    16810

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...这些工具提供图形界面,只需填入应用ID和权限范围,即可一键生成钓鱼页面与轮询脚本。“现在,一个懂基础Python的大学生都能发起设备代码钓鱼。”...答案在于:设备代码钓鱼攻击发生在身份验证之后,且完全走合法API通道。...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    16210

    快速提升Entra ID安全性的实用指南

    Microsoft Entra设备需要多重身份验证"设置为"是"访客默认设置访客用户具有与成员相同的查看Entra ID的能力此设置应按以下所示更改。...合作伙伴Tier2支持"合作伙伴Tier2支持角色可以为所有非管理员和管理员(包括全局管理员)重置密码和使刷新令牌无效。""...特权身份验证管理员Microsoft:"请勿使用。""为任何用户(包括全局管理员)设置或重置任何身份验证方法(包括密码)。...还有一个应用程序权限(Graph:RoleManagement.ReadWrite.Directory)也提供管理权限。Entra ID租户中最多有500个角色可分配组(创建最大值)。...AppRoleAssignment.ReadWrite.All允许应用程序代表登录用户管理对任何API的应用程序权限授予和任何应用程序的应用程序分配。

    19610

    钓鱼攻击治理的政策—技术协同框架构建研究

    文中提供基于 Python 的邮件头解析与可疑域名检测代码示例,以及利用 Microsoft Graph Security API 实现自动化威胁上报的流程设计,验证技术手段与政策要求的兼容性。...ITIF 提出的政策建议——包括建立全国性钓鱼事件报告系统、强化身份验证要求、追究基础设施提供者责任及推动公众教育——为重构治理范式提供了方向。...3.2 强化身份验证标准立法要求关键服务(如银行转账、账户重置)采用抗钓鱼的身份验证方式,例如:禁用 SMS 作为唯一 MFA 因子(易受 SIM 交换攻击);推广 FIDO2 安全密钥或生物识别绑定;...4.2 利用 Graph API 上报威胁指标对于使用 Microsoft 365 的机构,可通过 Microsoft Graph Security API 自动提交钓鱼域名作为威胁指标(TI):import...requestsimport jsondef submit_phish_indicator(domain, access_token):url = "https://graph.microsoft.com

    14510

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...组织需重新审视身份验证与会话管理的安全边界,从“单点链接信誉”转向“端到端会话行为连续性”检测。...Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs..." # 从AiTM获取headers...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

    30010

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...://graph.microsoft.com/v1.0/me/messages?...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All...4.6 Graph API 异常行为监控部署KQL查询,检测异常API调用模式:// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

    23710

    谷歌开发者大会炸场!Agent重磅升级, A2A、SDK大更新

    4)在身份验证方面,协议采用了类似OpenAPI的标准化认证方案,明确了智能体间身份验证的规范。这提升了跨智能体交互的安全性和可靠性。...现在新的身份验证标准让智能体能够清晰了解对方的认证要求,不论是API密钥、OAuth还是OIDC,都有统一的规范支持。...同时,微软展示了使用Microsoft EntraAgentID和Microsoft Graph联合调用多个A2A智能体的案例,将其应用于提升职场生产力。...为了扩大开发者的使用范围,谷歌推出了Java ADK的首个版本v0.1.0,将ADK的强大功能和高度灵活性引入Java开发环境,让Java开发者可以更加便捷地应用于智能体的开发中。...此外,Project Mariner的应用范围不仅局限于浏览器端,谷歌还计划将其拓展到更多终端设备,如手机和智能眼镜等,旨在让用户能够在各种设备之间自由切换,体验统一且流畅的智能体服务。

    53610

    微软揭露针对以色列的 POLONIUM 组织攻击活动

    使用该 OAuth Token 就可以向 Microsoft Graph API 请求(https://graph.microsoft.com/v1.0/me/drive/root:/Documents...请求结构为:https://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。...通过 OneDrive 下载文件,请求结构为https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。...数组中的每个值都单独作为参数传递给以下自定义函数,该函数使用 Invoke-Expression cmdlet 运行命令: △自定义函数 每个命令的执行结果都会收集起来,发送到 OneDrive 上的以下位置:https://graph.microsoft.com...执行期间,攻击者可以使用 https://graph.microsoft.com/v1.0/me/drive/root:/Documents/data.txt:/content请求重置原始文件 data.txt

    1.7K20

    微软开源了一个 助力开发LLM 加持的应用的 工具包 semantic-kernel

    这使您能够在应用中构建新体验,从而为用户带来无与伦比的工作效率:例如总结冗长的聊天交流,标记通过Microsoft Graph添加到待办事项列表中的重要“下一步”,或者计划一个完整的假期,而不仅仅是预订飞机上的座位...使用SK快速启动和运行,SK是Microsoft AI生态系统的最新成员,使开发人员能够轻松地将LLM AI功能集成到他们的应用程序中。...身份验证和 API[13]:使用基本连接器模式进行身份验证并连接到 API,并设想将外部数据集成到应用的 LLM AI 中。...在运行示例和笔记本之前,您可能需要满足一些软件要求: Azure Functions 核心工具[15],用于将内核作为本地 API 运行,这是 Web 应用所需的。...需要OpenAI API[16] 密钥或 Azure OpenAI 服务密钥[17]才能开始使用。 用于安装 Web 应用的依赖项的Yarn[18]。

    1.7K20

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    此类攻击不再依赖传统邮件附件或显式恶意链接,而是通过伪装成合法的SharePoint共享文档请求,诱导用户在看似可信的界面中完成多阶段身份验证,最终窃取账户凭证或植入恶意载荷。...更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing...(token):headers = {'Authorization': f'Bearer {token}'}url = "https://graph.microsoft.com/v1.0/sites/root...headers=headers)drives = response.json().get('value', [])for drive in drives:items_url = f"https://graph.microsoft.com

    24210

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    芦笛指出,“Azure AD 默认允许任何注册应用发起设备代码请求,而企业管理员往往不知道这一功能的存在,更未限制其使用范围。”...更危险的是,一旦获得 Refresh Token,攻击者可长期维持访问,即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...10封邮件headers = {"Authorization": f"Bearer {access_token}"}mails = requests.get("https://graph.microsoft.com

    27610

    PwnAuth——一个可以揭露OAuth滥用的利器

    一旦获得授权,应用程序不需要凭证就可以访问用户的数据,并绕过可能存在的任何双因素身份验证。...API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...服务器可以与API资源相同,或者是另一个不同的组件。在本例中,Microsoft登录门户是“授权服务器”。 范围 范围定义为第三方应用程序请求的访问类型。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...依据API资源,企业可用的选项差异很大,但通常包括: · 限制第三方应用程序可以请求的API范围。

    2.5K20

    GIF动图只能用做表情包?黑客拿来入侵微软视频会议软件

    CyberArk发现了该漏洞,影响范围波及客户端和网页版的app用户。该团队发现该漏洞后在3月23日报送给微软,微软在4月20日发布的更新中修复了该漏洞。...Microsoft Teams是类似Zoom的一款视频会议软件,在COVID19期间也是见证了用户视频使用需求的崛起,世界范围的企业、学生、政府雇员都必须使用视频会议软件来进行工作和社交。...子域名接管漏洞 该漏洞是在Microsoft Teams处理图像资源身份验证方式时出现的。...Teams使用多个API端点与服务进行通信,并将用户操作发送到相关API端点,此时则需要进行身份验证来匹配操作和用户身份。常用方式是发送访问令牌,而Teams在图像方面出现问题。...比如用户身份验证不是基于Cookie,加载图像则比身份验证更为复杂。

    2.1K10

    云邮箱钓鱼攻击趋势与企业防御体系重构

    典型流程如下:用户在钓鱼页面输入凭据;攻击脚本实时将凭据转发至真实登录接口,完成身份验证;获取有效的会话Cookie或OAuth 2.0访问令牌;直接注入浏览器或API调用,绕过MFA校验。...真正的问题在于:身份验证过程未与设备状态、行为上下文深度耦合。...关键措施包括:自动化会话吊销:通过API批量注销用户所有活动会话;凭据紧急重置:强制更改密码并撤销刷新令牌;行为回溯:利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例:import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"headers = {"Authorization": f"Bearer

    21910
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券