文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

为什么在Java中没有为空字符串设置访问API呢 | Java Debug 笔记

为什么在Java中没有为空字符串设置访问API呢?...=========================熟悉Java的朋友都知道,当我们通过双引号创建字符串的时候,Java 会将字符串存储在常量池中以供我们下次使用但是为什么String类不为我们提供一个对空字符串的引用呢因为这样做至少可以节省了编译的时间...,因为我们引用API的话编译器就知道我们引用现有的常量而不会再去对他做检查是否已经存在常量池等操作。...我个人认为这某种意义上来说这有点“代码味道”所以说,关于String的空字符一说在Java中中是否有更加复杂的涉及考虑还说设计者没有考虑到这个问题呢回答1===String.EMPTY是12个字符,而"..."仅仅2个字符,它们在运行时都将引用内存中完全相同的实例。

54810

Office开发者计划-永久白嫖Office365

参考步骤 ​ 访问微软 Office开发者中心,在首页上点击立即加入按钮,注册->登录账号,随后填充信息即可 ​ 确认完成,设置E5沙盒(可自定义配置),设置完成则可看到下述内容...权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...:证书和密码->添加客户端密码 ​ 确认完成在列表处可以看到生成的记录,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...:8000 JAVA示例 ​ Microsoft Graph & Java 入门 ​ SDK引用:msgraph-sdk-java ​ Java应用创建示例:Github仓库 ​

11.2K32
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...一旦同意,攻击者即获得授权码,兑换为访问令牌(access token)与长期有效的刷新令牌,从而无需再次触发MFA即可持续访问用户邮箱与文件。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。

    22110

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击:攻击者诱导用户授权伪装成合法工具的恶意OAuth应用,利用其申请的高权限API作用域(如Mail.Read、Files.ReadWrite.All),在无需密码或一次性验证码的情况下访问邮箱...OAuth 2.0作为现代身份联合与资源授权的标准协议,在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作,即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...该机制极大提升了用户体验,但也引入了新的攻击面:若用户被诱导授权一个恶意应用,攻击者即可绕过所有基于密码和MFA的验证环节,直接通过合法API接口操作账户。...注册过程无需特殊权限,任何拥有个人Microsoft账户的用户均可完成。...6 讨论此类攻击的本质是身份授权机制与用户认知之间的错配。OAuth设计初衷是提升互操作性,但其“一次同意、长期访问”的模型在企业环境中构成重大风险。

    18710

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    其标准流程如下:用户在受限设备上请求访问资源(如OneDrive);设备向授权服务器(如Azure AD)发起请求,获取一个设备代码(device_code)和用户验证码(user_code);用户被引导至...;设备凭此Token访问API资源。...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...(1)立即行动:限制设备代码流最直接有效的措施,是在Azure AD中通过条件访问策略(Conditional Access Policy)禁用设备代码授权。...同时,开启风险用户检测(Identity Protection)和异常登录活动告警。例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。

    10810

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    攻击者通过伪造合法服务(如Cloudflare验证页或微软账户修复向导),引导用户在浏览器中完成看似无害的操作——复制粘贴一个URL或点击“同意”按钮,实则触发OAuth授权请求,将访问令牌(access...,"scope": "Mail.Read Mail.Send Files.Read.All","expires_in": 3600}至此,攻击者无需知道用户密码,即可通过access_token调用Microsoft...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    14410

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    在此过程中,攻击者不仅捕获用户名与密码,更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌(Refresh Token),从而实现无需凭证重放的持久化账户访问。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等,完全绕过前端UI与MFA提示。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。即使攻击者窃取Access Token,也无法在其他连接中使用。

    21110

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    这一举措通过提供与Microsoft 365 Copilot类似的能力,即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析,直接向Microsoft...访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...用户无需自行设置任何内容 - 它直接工作。要配置连接器,管理员必须同时是SharePoint Online(或租户)管理员和ChatGPT管理员。...根据OpenAI的说法,新文件或对SharePoint文件的更新在一小时内即可在ChatGPT中使用。文件访问受"SharePoint和ChatGPT之间的严格电子邮件域名匹配"控制。...自Microsoft 365 Copilot推出以来,一个显而易见的问题是Microsoft 365租户在SharePoint Online中存储了一些完全无用的内容。

    15010

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...它允许第三方应用在不获取用户密码的前提下,访问用户在其他服务(如 Google、Microsoft)上的资源。.../.default服务器返回 device_code 和 user_code(即用户看到的 ABCD-EFGH);用户在另一台设备访问 https://aka.ms/devicelogin,输入 user_code...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近

    10910

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    本文基于上述威胁演进特征,系统剖析现代攻击链中“身份即入口”的战术逻辑,结合云环境中的典型攻击路径,提出以零信任原则为基础、融合FIDO/WebAuthn无密码认证、条件访问策略、用户行为分析(UBA)...尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...2.2 攻击链中的角色演变在传统攻击模型中,凭证窃取多用于维持持久化访问;而在当前云原生环境中,它已成为初始访问(Initial Access) 的首选手段。...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    21210

    Microsoft 365 E5 Renew X 部署教程

    Microsoft 365 E5 Renew X Microsoft 365 E5 Renew X是一款网页版的E5续订服务,其依赖网页浏览器呈现支持用户多端操作,完全将E5账户API调用托管在了服务器端因此用户无需电脑也可使用...Microsoft 365 E5 Renew X 由来 Microsoft 365 E5 Renew X为Microsoft 365 E5 Web的升级版,相对于旧版其增强了管理功能且更容易部署,API...主要功能 用户端 两种可选的调用权限:用户未登录作为守护程序调用(需要客户端密码)、程序以登录用户身份直接调用(需要账户密码) API种类齐全:41/30个可选的Microsoft Graph REST...API Beta中的API(未来可能会继续添加) 完全随机的API调用模式:从已选定的API序列中随机抽取一个或几个进行调用(个数和API随机) 完全随机的API调用时间间隔:随机区段1000s-2000s...固定 完全随机的API内容(仅部分API支持):发送邮件的内容随机 Onedirve上传文件的内容随机 邮件通知服务:支持设置通知邮箱,调用异常会通过邮件通知无需反复登录查看 部署端 平台兼容性:使用Asp.Net

    4K20

    钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究

    攻击流程如下:用户点击钓鱼邮件中的链接,访问攻击者控制的仿冒登录页(如secure-microsoft-login[.]xyz);该页面实际是一个反向代理,将用户所有请求(包括输入的用户名、密码、MFA...,使其误以为登录成功;攻击者使用窃取的Cookie,直接访问目标用户的邮箱、OneDrive或Azure门户,无需再次认证。...以下Python脚本模拟检测异常会话(基于Microsoft Graph API):import requestsfrom datetime import datetime, timedeltaGRAPH_API_TOKEN...$filter=userPrincipalName eq '{user_id}'&$top=10"headers = {"Authorization": f"Bearer {GRAPH_API_TOKEN...在传统静态认证模型中,MFA显著提升安全性;但在AitM代理面前,若缺乏会话绑定与持续验证,MFA反而制造虚假安全感。因此,安全架构必须从“一次性认证”转向“持续信任评估”。

    24210

    微软开源图数据查询语言LIKQ,海量图数据实时检索和集成触手可得

    它可以让开发人员无需学习新的领域相关的特定查询语言,直接使用原生C#代码即可构建知识图谱语言,从而使海量图数据的实时检索和集成变得触手可得。 ?...例如,在一个知识图谱的前端应用中,开发者可以将 LIKQ 直接嵌入到前端 JavaScript 中来实现实时高效的知识图谱访问。...此前,基于 Graph Engine 的 LIKQ 已被应用于微软认知服务的学术图谱检索 API 中,用户可以通过微软认知服务对微软学术图谱进行实时的路径和模式匹配查询。 ?...作为一个高性能内存数据库,Graph Engine 可充分利用内存来加速数据访问和并行计算。作为一个通用计算引擎,Graph Engine 拥有极强的可扩展性。...Graph Engine官网:https://www.graphengine.io/ 更多信息:https://github.com/Microsoft/GraphEngine

    1.6K100

    基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

    首先,当攻击载体脱离电子邮件(如通过WhatsApp、Telegram、电话引导用户访问短链接),邮件网关完全失效;其次,即使启用了MFA,若用户在钓鱼页面上同时输入主密码与一次性验证码,攻击者仍可实施...本文的核心贡献在于:(1)系统性解析Check工具的技术实现原理,包括其本地化检测引擎、域名指纹库更新机制与用户交互设计;(2)评估其在真实MSP运维环境中的部署成本、效能与潜在风险;(3)提出与现有Microsoft...一旦授权,攻击者即可通过合法API令牌访问用户邮箱、日历等资源,规避传统邮件监控。这两种攻击均可通过非邮件渠道发起,使得基于邮件内容的过滤器形同虚设。...无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。权限范围审慎:扩展需activeTab与storage权限,虽无敏感权限,但仍需用户信任。...与Microsoft Graph API联动:在检测到钓鱼后,自动调用/revokeSignInSessions终结用户所有活动会话。

    19210

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    摘要近年来,设备代码钓鱼(Device Code Phishing)作为一种绕过多因素认证(MFA)的高级社会工程手段,在Microsoft 365环境中迅速扩散。...)、验证URI(verification_uri)及轮询间隔;客户端向用户展示user_code和verification_uri,提示其在另一设备上完成登录;用户访问verification_uri(...留空(设备授权无需回调)API权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f)headers = {'Authorization...建议:为高管、IT、财务人员强制启用FIDO2;在条件访问策略中要求高风险操作必须使用无密码认证。

    13810

    .NET周报 【6月第4期 2023-06-25】

    https://www.cnblogs.com/hejiale010426/p/17498629.html 许多Blazor用户在开发内部系统时会选择更快的Blazor Server模式。...由于基于SignalR实现,它在访问时会建立WebSocket长连接,用于交互和界面渲染。这可能导致用户在操作界面时,服务器宽度被占用。会在无操作情况下自动断开连接,导致不美观的重连接界面及灰色效果。...Microsoft Forms 是使用 .NET Framework 4.7.2 的 WebForms 和 Web API 构建的微服务,但前端 REST API 和后端 REST API 服务已迁移到...【英文】使用委派权限和 Microsoft Graph 在 ASP.NET Core 中重置密码 https://damienbod.com/2023/06/19/reset-passwords-in-asp-net-core-using-delegated-permissions-and-microsoft-graph.../ 了解如何在 ASP.NET Core 应用程序中使用 Microsoft Graph 重置用户密码。

    1.6K20

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    关键在于,整个过程无需用户点击任何链接。攻击入口不是URL,而是那个看似正规的“客服电话”。“这是一次对‘信任链’的降维打击。”...在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。“安全网关看到的是‘微软发来的正常通知’,自然放行。”...此时,MFA早已完成,系统视所有操作为“合法用户行为”。攻击者可直接访问内部资源,无需再次认证。2....邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    9910

    谷歌开发者大会炸场!Agent重磅升级, A2A、SDK大更新

    例如,微软宣布将在AzureAI Foundry平台支持该协议,助力构建A2A智能体,并能够在Microsoft Copilot Studio中调用任意A2A智能体。...同时,微软展示了使用Microsoft EntraAgentID和Microsoft Graph联合调用多个A2A智能体的案例,将其应用于提升职场生产力。...SAP则计划在其AI助手Joule中集成A2A协议支持,使Joule能在SAP生态内协调不同智能体,并在用户界面中调用通过谷歌ADK构建的A2A智能体,帮助用户无需切换上下文即可访问多个系统的智能体,完成更多任务...为了扩大开发者的使用范围,谷歌推出了Java ADK的首个版本v0.1.0,将ADK的强大功能和高度灵活性引入Java开发环境,让Java开发者可以更加便捷地应用于智能体的开发中。...开发者只需在Maven项目中添加相应的依赖即可快速上手。

    47010
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券