文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

一旦授权完成,攻击者即可通过device_code兑换令牌,获得与用户同等的API访问权限。...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...例如:阻止从非托管设备或异常地理位置发起的设备代码授权;要求所有OAuth令牌请求必须来自合规设备;对包含敏感权限(如Mail.ReadWrite)的令牌请求强制二次审批。...未来需推动更细粒度的权限委托机制(如Microsoft Graph Delegated Permissions with Scopes Restriction)。另一个挑战是刷新令牌的长期有效性。

20410

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...范围 范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...访问令牌可以在设定的时间段内使用,从API资源访问用户的数据,而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序,并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码,并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

2.5K20
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OAuth滥用的定向钓鱼攻击与防御机制研究

    Workspace账户的访问权限,从而合法获取高权限令牌。...此类攻击之所以高效,源于三个技术与心理层面的耦合:其一,OAuth授权界面由微软或谷歌官方呈现,用户天然信任;其二,授权请求中常包含看似合理的权限范围(如“读取基本资料”),掩盖其后续滥用意图;其三,攻击者通过...攻击者服务器立即用该code向Google令牌端点交换访问令牌(access token)和刷新令牌(refresh token):# 攻击者后端:用授权码换取令牌import requestsdef...API、Gmail API等,读取联系人、邮件、日历,甚至发送钓鱼邮件扩大攻击面。...Graph API支持查询用户授予的同意记录:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

    27810

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...关键词:OAuth 同意滥用;假冒微软应用;Entra ID;多因素认证绕过;Graph API;条件访问1 引言多因素认证(MFA)作为现代身份安全的核心防线,已在绝大多数企业环境中广泛部署。...一旦同意,攻击者即获得授权码,兑换为访问令牌(access token)与长期有效的刷新令牌,从而无需再次触发MFA即可持续访问用户邮箱与文件。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...4.2 条件访问:基于权限范围的策略拦截创建条件访问策略,阻止包含高危权限的应用获取令牌:策略逻辑:触发条件:应用请求包含Mail.ReadWrite、User.ReadWrite.All等;操作:阻止登录

    24010

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    研究发现,此类攻击普遍利用合法协作平台(如Microsoft 365、Google Workspace)作为初始入口,并通过OAuth滥用或会话令牌窃取绕过多因素认证。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门:POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...(4.3)策略层:最小权限与信息分类推行“敏感信息最小披露”原则:要求幕僚在对外通信中避免包含内部编号、未公开议程细节;建立外部文件验证流程:收到“政策草案”类附件时,必须通过官方电话或加密消息渠道二次确认来源...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。

    20310

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    关键词:OAuth 2.0;MFA绕过;Microsoft Entra ID;钓鱼攻击;身份安全;API权限;条件访问;第三方应用治理1 引言随着云办公的普及,Microsoft 365已成为全球企业数字基础设施的核心组成部分...以授权码模式(Authorization Code Flow)为例,典型步骤如下:用户访问第三方应用:例如点击“使用Microsoft登录”按钮;重定向至Microsoft登录页:URL包含client_id...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    25110

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    其核心价值在于解耦资源所有者(用户)与客户端应用之间的凭证传递,转而依赖短期有效的访问令牌(Access Token)与长期有效的刷新令牌(Refresh Token)完成资源访问。...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...返回的JSON响应包含access_token与refresh_token。前者有效期通常为1小时,后者可达90天(取决于租户策略)。攻击者利用刷新令牌可无限续期访问令牌,实现长期潜伏。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

    28410

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    一、引言近年来,随着企业向云办公平台(如Microsoft 365、Google Workspace)的大规模迁移,身份认证体系逐步从传统的用户名/密码模型转向基于令牌(token)的现代协议,其中OAuth...攻击目标不再是静态密码,而是动态的、具有时效性的授权令牌;攻击载体不再是可执行文件,而是合法云服务的API接口。这一变化对企业的安全边界提出了全新挑战。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    19010

    伪装成安全会议的“数字陷阱”:俄罗斯黑客如何借OAuth之名窃取全球政要邮箱?

    一旦拿到授权码,攻击者即可向微软的令牌端点(Token Endpoint)发起请求,换取访问令牌(Access Token)和刷新令牌(Refresh Token)。...这意味着,即便用户后续修改密码,攻击者仍可通过刷新令牌长期维持访问权限。...,返回的JSON将包含可用于调用Microsoft Graph API的令牌:{"token_type": "Bearer","scope": "Mail.Read Mail.Send User.Read...与此同时,攻击者控制的服务器在后台轮询微软API,一旦用户完成授权,即可获取令牌。...OAuth 2.0本意是让用户无需向第三方应用透露密码,即可授权其访问特定资源(如“允许XX应用读取我的联系人”)。

    16910

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    授权完成后,攻击者的服务器立即通过 OAuth 2.0 的 /token 端点兑换访问令牌和刷新令牌(Refresh Token),从而获得对受害者邮箱、日历、文件等资源的长期访问权——全程无需知道密码...更危险的是,一旦获得 Refresh Token,攻击者可长期维持访问,即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...更隐蔽的是,攻击者可申请最小必要权限(如仅 Mail.Read),避免触发高风险权限警报。而企业若未启用 条件访问(Conditional Access) 策略,这类低权限授权几乎不会被审计系统标记。...推荐策略:对包含 offline_access(即请求 Refresh Token)的授权请求强制执行 MFA;阻止从未知国家/地区的登录尝试;对非托管设备(如个人手机)限制访问敏感数据。4.

    29310

    开放授权之道:OAuth 2.0的魅力与奥秘

    请求授权: 客户端将用户重定向到授权服务器,并包含以下信息: 客户端标识 请求的范围(资源访问的权限) 重定向 URI,用于接收授权码或访问令牌 用户授权: 资源所有者(用户)在授权服务器上登录...令牌的使用: 客户端在每次请求受保护资源时,将访问令牌包含在请求中。资源服务器验证令牌的有效性,并根据权限提供相应的资源。...这样的场景下,社交媒体平台充当授权服务器,提供访问令牌。 第三方应用集成: 允许第三方应用程序访问用户的资源,例如日历、联系人等。用户可以授予访问权限,而无需提供他们的用户名和密码。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务,例如使用Google Drive API或Microsoft Graph API,以实现对云存储和办公应用的访问。...区别: OAuth 2.0: 主要关注在资源所有者和客户端之间的授权过程,允许客户端访问资源。 不包含对身份验证的具体规范,仅用于授权。 通常用于访问受保护的资源,如API。

    87211

    【壹刊】Azure AD 保护的 ASP.NET Core Web API (下)

    AD里面给Swagger注册的客户端应用的Id 6,scp:权限范围,我们为Swagger授权访问WebApi的权限 看到这里,是不是感觉和 Identity Server 4授权验证中心的好多配置特别相似...通过User的用户名和密码向认证中心申请访问令牌。   按照惯例,在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...参数必传 这时候,就又有人问了,为什么这里的 scope 参数的值和上面不一样,确实,我也有这个疑问,后来找到微软官方给我的文档解释道: Microsoft Graph 示例中,该值为 https...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点:在为应用配置的所有直接应用程序权限中,终结点应该为与要使用的资源关联的权限颁发令牌 使用共享机密访问令牌请求:https://docs.microsoft.com

    3K10

    基于中间人代理的MFA绕过攻击及其对Microsoft 365安全架构的影响分析

    该工具包通过动态反向代理机制,在用户完成完整认证流程(包括输入密码与MFA验证码)后,同步截获有效会话Cookie与访问令牌,并立即用于接管Microsoft 365账户,实现对Outlook、Teams...尤其在Microsoft 365生态中,一旦攻击者获得有效会话Cookie或OAuth 2.0访问令牌,即可直接调用Graph API访问邮件、日历、文件甚至执行管理员操作,而无需再次触发MFA。...4 防御体系构建4.1 启用连续访问评估(Continuous Access Evaluation, CAE)CAE是Microsoft推出的实时令牌撤销机制。...当检测到高风险事件(如密码重置、设备丢失报告),CAE可在数秒内使相关访问令牌失效,大幅缩短攻击窗口。管理员需在Azure AD中启用CAE并确保应用支持增量权限撤销。...其认证过程包含对RP ID(Relying Party Identifier)的校验,确保仅在真实Microsoft域名下触发,仿冒页面无法获取有效签名。

    20710

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    如https://microsoft.com/devicelogin),输入user_code;授权服务器验证用户身份(通常包括MFA)后,将授权授予客户端;客户端通过轮询使用device_code换取访问令牌...留空(设备授权无需回调)API权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...,攻击者可调用Microsoft Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f...设置自动化规则,例如:当同一用户在24小时内授权超过2个未列入白名单的应用,且包含Mail.ReadWrite权限时,自动吊销令牌并告警。...可行的折中方案包括:仅对高风险用户组(如高管、财务)禁用;启用“连续访问评估”(Continuous Access Evaluation, CAE),使令牌在检测到风险时实时失效;要求所有设备授权请求必须来自合规设备

    21410

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...OAuth 2.0授权虽简化了单点登录(SSO),但也导致权限过度授予问题。例如,一个仅需读取日历的协作工具,常被授予“完全访问邮箱”权限,一旦该应用令牌泄露,攻击者可直接读取高管邮件。...2.2 攻击链中的角色演变在传统攻击模型中,凭证窃取多用于维持持久化访问;而在当前云原生环境中,它已成为初始访问(Initial Access) 的首选手段。...典型路径如下:钓鱼获取员工凭证(含MFA绕过,如MFA疲劳攻击);登录云控制台(如Azure AD、AWS IAM);枚举高权限账户或服务主体;申请或窃取OAuth令牌/会话Cookie;通过Graph...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    24910

    2025年钓鱼攻击的演化趋势与防御机制研究

    此外,随着企业全面迁移至云端,Microsoft 365、Google Workspace、Slack等协作平台成为新的攻击焦点,攻击者利用OAuth令牌窃取、会话劫持等手段绕过传统边界防护。...2 生成式人工智能驱动的个性化钓鱼2.1 技术原理传统钓鱼邮件通常存在语法错误、格式混乱或内容泛化等问题,易被用户或自动化系统识别。...常见手法包括:OAuth滥用:诱导用户授权恶意应用获取邮箱、日历、文件读取权限;会话Cookie窃取:通过钓鱼页窃取有效会话令牌,实现无密码登录;协作工具冒充:伪造Slack或Teams通知,诱导点击恶意链接...该应用随后通过Graph API导出其邮箱全部内容,并向联系人发送钓鱼邮件,形成横向传播。...5.3 防御机制需启用条件访问策略(Conditional Access),限制第三方应用权限范围;实施持续访问评估(Continuous Access Evaluation),在检测到风险时实时撤销令牌

    35910

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    Tool”的应用,申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围,并诱导用户授权(或利用已窃取的管理员令牌静默授权)。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...此后,即使原始凭证被重置,攻击者仍可通过OAuth令牌维持API级访问,实现长期潜伏。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...其中,高管不应被视为“高权限用户”,而应被定义为“高风险身份主体”,适用更严格的访问控制与监控策略。

    23010

    钓鱼邮件“精准制导”升级:Outlook与Gmail成重灾区,企业身份防线告急

    过去,钓鱼邮件常因语法错误、奇怪域名或夸张语气被一眼识破。但如今的攻击者,已学会“穿上西装打领带”。...页面不仅复刻了Microsoft 365登录界面,还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...一旦同意,攻击者即获得访问用户邮箱、日历、联系人的API权限,且该令牌长期有效,难以察觉。...五、防御之道:从Passkeys到会话吊销,构建纵深防线面对如此精密的攻击,仅靠“别点陌生链接”的教育已远远不够。必须构建覆盖认证—访问—检测—响应的全链条防御。1....建立快速响应机制一键冻结账户:SOC接到报告后5分钟内禁用账号;会话吊销:通过Microsoft Graph API或Google Admin SDK,立即终止所有活跃会话;# Microsoft Graph

    24810
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券