文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

高级OAuth钓鱼攻击的演化机制与防御体系构建

尤其在Microsoft 365、Google Workspace等企业生产力平台中,OAuth被深度集成于单点登录(SSO)、API调用、跨应用数据共享等关键场景。...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...一旦点击“同意”,授权码即被发送至redirect_uri——此地址虽非微软域名,但若组织未严格限制重定向URI白名单,则攻击成功。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

28110
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    “量子重定向”钓鱼工具席卷全球:一场针对Microsoft 365的自动化攻防战正在打响

    据安全公司KnowBe4披露,该工具不仅大幅降低了网络钓鱼的技术门槛,还通过高度自动化的流量分发、地理适配和反检测机制,成功绕过主流安全防护体系,对Microsoft 365用户构成系统性威胁。...多名员工点击后,被重定向至高仿真的Microsoft登录页。由于页面显示为https且带有有效证书(由Let's Encrypt签发),无人起疑。...尽管目前尚无公开的中国大规模受害报告,但风险不容忽视。首先,Microsoft 365在中国企业市场占有率持续攀升。...# 通过Microsoft Graph API检查用户是否启用FIDO2GET https://graph.microsoft.com/v1.0/me/authentication/methods# 返回结果中若包含...建议在Azure AD中全局关闭:Set-CASMailbox -Identity user@company.com -ImapEnabled $false -PopEnabled $false同时,启用

    13010

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...用户点击链接后,被重定向至真实的Microsoft Entra ID OAuth同意页面,在看似无害的提示下授予Mail.Read、Calendars.Read、User.ReadWrite等权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...://graph.microsoft.com/v1.0/me/messages?...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    23710

    Office开发者计划-永久白嫖Office365

    Authenticator进行权限验证和管理,完成注册之后通过验证则激活成功(后续有关该账号的活动则可通过软件进行授权) 自动续订 自动续期 ​ Office 365开发者订阅默认是90...权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择 “委托的权限”配置(用户登录)(选择...调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅...,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​...c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门: a.选择语言或平台 b.获取应用 ID(客户端 ID) c.生成示例 d.登录,然后查看日历上的事件 PHP

    11.3K32

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    = 'Host'},data=request.get_data(),cookies=request.cookies,allow_redirects=False)# 捕获认证成功后的Set-Cookie与令牌...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。.../.default返回的Access Token可立即用于读取邮件:GET /v1.0/me/messages HTTP/1.1Host: graph.microsoft.comAuthorization...VoidProxy的成功暴露了以下根本性问题:MFA验证与会话绑定脱节:MFA仅在认证时刻验证用户身份,但生成的会话令牌本身不绑定设备、IP或浏览器上下文。一旦令牌泄露,任何持有者均可冒充合法用户。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id

    23710

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    2 OAuth 2.0设备授权流程概述OAuth 2.0设备授权模式(Device Authorization Grant)定义于IETF RFC 8628,适用于无法直接处理重定向或输入复杂凭据的设备.../devicelogin 并输入代码:ABC123”;用户信以为真,在微软官方页面输入代码并完成MFA;攻击者轮询令牌端点,成功获取access_token与refresh_token;利用令牌调用Microsoft...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

    17210

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    以授权码模式(Authorization Code Flow)为例,典型步骤如下:用户访问第三方应用:例如点击“使用Microsoft登录”按钮;重定向至Microsoft登录页:URL包含client_id...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制,但实际部署中普遍存在以下问题:4.1 第三方应用授权策略宽松默认情况下,Microsoft Entra ID允许所有用户注册和授权第三方应用。...OAuth设计初衷是提升互操作性,但其“一次同意、长期访问”的模型在企业环境中构成重大风险。尤其当用户将“微软登录页面”等同于“安全操作”时,社会工程成功率极高。此外,微软的默认安全策略偏向可用性。

    24310

    RaccoonO365开发者落网背后:一场钓鱼即服务(PaaS)产业链的崩塌与重生

    (3)模块化后端:支持“客户自助服务”RaccoonO365的管理后台允许买家自行配置钓鱼活动:选择目标国家(自动加载对应语言模板)、设置重定向URL、查看实时受害者数据(IP、设备、是否成功窃取)。...这种转变的背后,是多重因素叠加:本地IT教育普及:尼日利亚拥有非洲最多的计算机专业毕业生,但高技能岗位稀缺;全球基础设施开放:Cloudflare、Vercel、Telegram Bot API等免费或低成本服务...管理员可通过Microsoft Entra ID策略强制高风险用户使用FIDO2:# 使用Microsoft Graph PowerShell SDK启用FIDO2策略Connect-MgGraph -...Policy.ReadWrite.AuthenticationMethod"New-MgPolicyAuthenticationMethodPolicy -BodyParameter @{"@odata.type" = "#microsoft.graph.authenticationMethodsPolicy"displayName...e5f6-7890-g1h2-i3j4k5l6m7n8" } # 全局管理员组)}}authenticationMethodConfigurations = @(@{"@odata.type" = "#microsoft.graph.fido2AuthenticationMethodConfiguration"state

    12610

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    授权完成后,微软将授权码(authorization code)重定向至redirect_uri(即攻击者服务器)。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面(如Microsoft Entra ID中的“应用权限”面板),但多数企业在实践中存在以下问题:第一,授权可见性不足。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    18610

    Quantum Route Redirect工具对Microsoft 365钓鱼攻击的自动化机制与防御对策研究

    通过构建可部署的重定向链解析原型与异常登录检测逻辑,验证技术对策的有效性。...凭证与会话捕获:钓鱼页面提交表单后,数据通过POST发送至攻击者API。...3 攻击影响与横向移动路径一旦成功窃取凭证或会话,攻击者可迅速展开后续行动:邮箱接管与线程劫持:通过Outlook Web Access(OWA)或EWS API监控收件箱,识别正在进行的商务沟通(如合同...4.4 SOC检测规则开发基于Microsoft Graph Audit Logs与Identity Protection信号,构建以下检测用例:会话Cookie异常使用:同一会话令牌在多个不同User-Agent...6 讨论需指出,Route Redirect的成功源于其对“用户体验”与“规避检测”的双重优化。

    23510

    基于SharePoint的信任滥用型钓鱼攻击机理与防御体系研究

    这些攻击不仅绕过了基于URL黑名单、邮件网关过滤和沙箱检测的传统防护机制,还通过模拟微软原生认证流程(如MFA验证码交互),显著提升了欺骗成功率。...更关键的是,SharePoint支持动态生成临时共享链接,且可通过Microsoft Graph API进行程序化管理。...(如普通员工创建大量登录页面)以下Python脚本示例展示如何通过Microsoft Graph API审计可疑共享项:import requestsimport jsondef detect_suspicious_sharing...(token):headers = {'Authorization': f'Bearer {token}'}url = "https://graph.microsoft.com/v1.0/sites/root...例如:用户A收到含SharePoint链接的邮件(来源:外部发件人)5分钟后访问该链接(SharePoint日志)随后尝试登录Microsoft账户(Azure AD日志),但IP地址与SharePoint

    24010

    微软E5开发者版

    此处注册后需要记录应用程序(客户端)ID 名称任意 账户类型选择最后一个 重定向URI选择Web,填写:https://e5.qyi.io/outlook/auth2/receive ?...配置API 前面的应用程序(客户端)ID和客户端密码的值都记录好后,下面进行API的配置 点击左侧API权限,添加权限然后选择Microsoft Graph ?...据说直接点授权会有坑 等待保存完毕后再点击授权,此时会跳转到Auth2.0授权页面,登陆并授权即可 授权成功后页面会跳转并弹出结果,显示授权成功即可 其它 设置容量 默认OneDrive只有1T容量,...(我这里隔了大概10分钟就可以了) 管理用户 在订阅页面中点击管理,跳转到Microsoft 365 Admin Center 点击用户-活跃用户,可添加/删除用户等操作 参考 免费申请office

    3.1K40

    Microsoft Teams 全球大瘫痪。。。

    起初看起来只是Microsoft Teams的一次轻微中断,结果还殃及了与Teams集成的诸多Microsoft 365服务,包括Exchange Online、Windows 365和Office Online...八个多小时前微软在Microsoft 365状态Twitter官方帐户上透露:“我们接到了有关用户无法访问Microsoft Teams或使用任何功能的报告。”...(发送邮件出现延迟) •Microsoft 365 管理员中心(无法访问) •多项服务内的Microsoft Word(无法加载) •Microsoft Forms(无法通过Teams来使用) •Microsoft...Graph API(任何依赖此API的服务都可能受到影响) •Office Online(Microsoft Word 访问问题) •SharePoint Online(Microsoft Word...•Yammer(对Yammer实验造成的影响) •Windows 365(无法配置Cloud PC) 在将流量重定向到正常运行的服务以减轻影响后,微软表示其遥测数据表明Microsoft Teams功能已开始恢复正常

    2.4K30
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券