文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

然而,近期多起安全事件表明,攻击者正通过滥用Microsoft Entra ID(原Azure AD)的OAuth 2.0授权框架,绕过MFA保护,直接获取对Microsoft 365账户的持久化访问权限...研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹,系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...本文不依赖厂商宣传或推测性归因,而是基于公开可验证的日志数据、应用注册元数据及API调用模式,深入剖析此类攻击的技术实现逻辑,并据此构建可落地的防御体系。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

25010
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    2025年披露的一起新型攻击事件显示,攻击者利用Microsoft OneDrive作为主要传播媒介,通过伪造人力资源部门关于薪酬调整或股权授予的通知邮件,诱导目标点击嵌入的共享链接。...此过程实现了“Adversary-in-the-Middle”(AiTM)攻击,使攻击者能在用户完成完整认证流程的同时获取有效会话Cookie或Refresh Token。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...": f"Bearer {user_token}"}url = "https://graph.microsoft.com/v1.0/me/oauth2PermissionGrants"response

    22610

    onedrive for business使用python上传文件

    API 终结点 URL OneDrive for Business 资源的访问令牌 在当前令牌到期时生成其他访问令牌的刷新令牌。...开始对接 客户端id和密钥使用过oneindex的小伙伴应该都知道怎么设置,这里就不多介绍,除此之外设置一个回调的uri就可以了,我使用的是“localhost:8400” 获取access_token...onedrive for business使用的是标准的Oauth2流程,所以大概流程就是先获取code,使用code交换access_token,然后就可以调用api了,这里先贴出获取code以及交换...onedrive的请求api是https://graph.microsoft.com/v1.0/me/drive,但是文档中以及网上教程写的是https://graph.microsoft.com/me.../drive,这也是我认为比较坑的一点 secret需要复制“值”,而不是“机密ID” 完整代码 此处内容需要评论回复后方可阅读 使用实例 1.配置self.client_id以及self.client_secret

    5.3K50

    微软E5开发者版

    选择国家(关系到OneDrive数据等存储位置)。填写域、用户名和密码,后面使用用户名@域.onmicrosoft.com进行登陆。...如我这里设置的用户名是admin,域是naraku,那么后面就可以使用admin@naraku.onmicrosoft.com进行登录 ?...配置API 前面的应用程序(客户端)ID和客户端密码的值都记录好后,下面进行API的配置 点击左侧API权限,添加权限然后选择Microsoft Graph ?...点击右侧应用程序权限,选择权限输入mail,再在勾选Mail下的4个权限。点击添加 ? 添加完成后,点击代表授予管理员同意 ?...添加Key到自动订阅 进入E5续订程序,点击Github图标进行登陆并授权 此处只能获取你在Github中的用户id、用户名等基础信息(邮箱获取不了),其他的任何信息也获取不到 然后自动跳转到授权页面

    3.1K40

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    为保护数据安全,您需重新登录Microsoft账户以解密查看。[立即查看文档]其中,“[立即查看文档]”按钮实际指向上述合法共享链接。...攻击者利用OneDrive的“评论”功能或文档内嵌按钮(通过Office Online的“插入链接”功能)添加如下内容:评论:“点击此处完成身份验证以解锁完整内容”;文档页脚:“若无法加载,请手动验证:...,攻击者立即调用Microsoft Graph API遍历收件箱:import requestsACCESS_TOKEN = "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIs....以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...即使用户被诱导至仿冒页面,浏览器不会提示签名,攻击者无法获取有效凭证。更重要的是,无密码认证不产生可被代理复用的会话Cookie,从根本上消除AiTM的攻击面。

    31010

    PwnAuth——一个可以揭露OAuth滥用的利器

    API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。在本例中,应用程序可能会请求访问OneDrive文件和用户配置文件。...访问令牌可以在设定的时间段内使用,从API资源访问用户的数据,而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序,并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码,并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

    2.5K20

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...例如 LockBit 4.0 的附属团伙,在2025年12月针对一家北美制造企业发起攻击:通过钓鱼邮件诱导IT管理员扫码授权;获取Directory.Read.All权限,枚举全公司用户;使用User.Invite...芦笛指出,“一旦拿到第一个Token,后续的横向移动、权限提升、数据外泄,都是标准化操作。”更令人担忧的是,工具链的共享。...使用(如非常规地理位置、高频API调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。

    16110

    OpenAI推出企业级SharePoint连接器,挑战Microsoft 365 Copilot

    这一举措通过提供与Microsoft 365 Copilot类似的能力,即对存储在SharePoint Online和OneDrive for Business中的文件进行推理分析,直接向Microsoft...访问通过针对Entra ID的OAuth认证授予,并且仅限于用户可访问的信息,就像任何其他使用Graph API与SharePoint Online和OneDrive for Business交互的应用一样...OpenAI指出,同步连接器仅适用于启用数据驻留的美国客户或不介意其数据存储在美国的国际客户。他们指出:"我们尚不支持非美国数据驻留配置的区域存储。"...SharePoint连接器总体而言,新版本的ChatGPT连接器似乎使用应用程序权限(如Sites.Read.All和Files.Read.All)来访问SharePoint和OneDrive内容并将其同步到...使用Graph权限读取SharePoint的应用示例可在此处找到。

    17010

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    但就在你输入那串看似无害的字母数字组合、点击“下一步”的瞬间,你的企业邮箱、OneDrive 文件、Teams 会议记录,甚至整个 Azure AD 权限,可能已经落入黑客手中。...“您的 OneDrive 存储即将锁定,请验证设备以继续使用。”...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...监控异常 OAuth 授权行为使用 Microsoft Defender for Cloud Apps 或第三方 SIEM 工具,设置告警规则,例如:单个用户短时间内授权多个新应用;应用请求权限与其业务场景不符

    28310

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    其标准流程如下:用户在受限设备上请求访问资源(如OneDrive);设备向授权服务器(如Azure AD)发起请求,获取一个设备代码(device_code)和用户验证码(user_code);用户被引导至...# 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...邮件安全网关:钓鱼邮件来自真实邮箱,内容无恶意附件或链接(指向的是微软官方域名),难以拦截;MFA:用户确实在微软官网完成了交互式登录,MFA已通过;SIEM/SOAR:后续的API调用(如读取邮件)来自微软数据中心...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。

    16510

    office365 E5调用api使E5开发者续订 修复版AutoApi (不使用服务器)

    microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...最后有视频教程 E5自动续期程序,但是不保证续期 设置了周六日(UTC时间)不启动自动调用,周1-5每6小时自动启动一次 (修改看教程) 调用api保活: 查询系api:onedrive,outkook...,想弄可选择性补充运行) rclone软件,下载地址 前往下载 步骤大纲: 微软方面的准备工作 (获取应用id、密码、密钥) GIHTHUB方面的准备工作 (获取Github密钥、设置secret) 试运行...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft API...里的Microsoft Graph(就是那个蓝色水晶), 点击委托的权限,然后在下面的条例搜索以下12个 最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite

    8.1K11

    (译) 如何使用 React hooks 获取 api 接口数据

    原文地址:robinwieruch 全文使用意译,不是重要的我就没有翻译了 在本教程中,我想向你展示如何使用 state 和 effect 钩子在React中获取数据。...如果你想查看完整的如何使用 React Hooks 获取数据的项目代码,可以查看 github 的仓库 如果你只是想用 React Hooks 进行数据的获取,直接 npm i use-data-api...使用 React hooks 获取数据 如果您不熟悉React中的数据提取,请查看我在React文章中提取的大量数据。...它将引导您完成使用React类组件的数据获取,如何使用Render Prop 组件和高阶组件来复用这些数据,以及它如何处理错误以及 loading 的。...这里我们使用 axios 来获取数据,当然,你也可以使用别的开源库。

    31.2K20

    win10 uwp 使用 Microsoft.Graph 发送邮件 注册应用创建 UWP 程序安装 nuget 包添加访问权限发送邮件

    在 2018 年 10 月 13 号参加了 张队长 的 Office 365 训练营 学习如何开发 Office 365 插件和 OAuth 2.0 开发,于是我就使用 UWP 尝试使用 Microsoft.Graph...经过了一天的测试终于成功使用发送邮件 本文告诉大家如何在 UWP 调用 Microsoft.Graph 发送邮件 在仔细阅读了Microsoft Graph 桌面应用程序 - 陈希章的文章之后,按照文章的方法尝试了很久终于成功发送了邮件...可以使用 Microsoft.Graph 调用 Office 365 的几乎所有功能,但是我只有成功使用邮件的功能,暂时就先告诉大家如何在 UWP 使用 Microsoft.Graph 发送邮件 之后的其他功能等我跑通了...在 Load 事件的函数添加自己的代码,首先使用 DelegateAuthenticationProvider 拿到访问的权限,在 Microsoft.Graph 的所有访问都需要先获得 OAuth 的权限...,因为用我的 ID 也是没问题 发送邮件 在获取到权限之后,很容易就可以调用 Microsoft.Graph 发送邮件,请看代码 创建 GraphServiceClient 之后调用 SendMail

    2.4K30

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    、设置转发规则或窃取OneDrive文件。...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。3.4 审计滞后企业极少定期审查已授权应用列表。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    23910

    大数据笔记(五):HDFS权限和Java的api使用

    HDFS权限和 Java的api使用 前言 博主语录:一文精讲一个知识点,多了你记不住,一句废话都没有 经典语录:别在生活里找你想要的,要去感受生活里发生的东西 一、HDFS的权限 1、启蒙案例 Permission...[c06d721d76b35d8382ca0bc4328cdd36.png] 结论:默认hdfs依赖操作系统上的用户和组 二、hdfs中Java的api使用 windows idea eclips  ...1048576, node04,node02 A // 1048576, 540319, node04,node03 B //计算向数据移动...// blk01: he // blk02: llo lanson 66231 in.seek(1048576); //计算向数据移动后,期望的是分治...,只读取自己关心(通过seek实现),同时,具备距离的概念(优先和本地的DN获取数据--框架的默认机制) System.out.println((char)in.readByte());

    69781

    好物分享25-通过调用API实现自动续期开发者onedrive账户

    然而,和免费云存储一样,onedrive 也会对开发者的域名进行回收。...无限续期的原理是多次调用API来达到让microsoft认为你是开发者,然后给你白嫖(自动续期)E5的效果。所以续订不是100%成功的,要看巨硬心情。 这里尝试其中一种续期的方法。...e5.qyi.io 项目实现无限续期 参见:E5续订 (qyi.io)[5] 这里按照作者的建议: 1-分配E5子账户 进入仪表盘:仪表板 - Microsoft 365 开发人员中心[6] 如果你的开发者账户需要使用...,比如邮件功能,最好还是分配一个子账户,以确保隐私,可以看看:如何创建|分配Office E5子账号 - 知乎 (zhihu.com)[7] 这里我直接用之前获取的账户。...这里创建后就复制下来,否则后面就无法查看了: 点击API权限->添加权限->应用程序权限->Microsoft Graph: 搜索Mail 后添加相关的权限: 3-登录E5续订项目 E5续订 (qyi.io

    5.2K10

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    尤其在Microsoft 365、Google Workspace等企业生产力平台中,OAuth被深度集成于单点登录(SSO)、API调用、跨应用数据共享等关键场景。...此类攻击具备高度隐蔽性:因全程使用标准OAuth流程,流量特征与正常业务无异;且一旦授权成功,攻击者可绕过MFA持续访问邮箱、日历、OneDrive等敏感资源,甚至利用被控账户横向扩散。...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...可使用Microsoft Graph PowerShell批量设置:# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

    28310

    案例分析:利用OAuth实施钓鱼

    accessToken 5、使用accessToken以API请求的方式获取所有资源 下面就是详细的步骤了。...二、创建一个申请授权的链接(SCOPE) 为了获取权限,用户会被url重定向至Microsoft,该url要包含如下格式数据: GET https://login.microsoftonline.com...的数据 在用户点击了授权之后,我们在sappo上搭建的应用能够自动实现获取authCode并转化为access_token,这时候我们只要操作一下界面就能以API的形式向IDP申请获取数据。...同样地,用户点击了YES后,就会给我们的应用授权,在我们获取到accessToken之后,就能以API的方式去请求用户的数据了。...虽然邮件不能访问,但是我们可以去看看用户存储在OneDrive上的数据,只要点击上面的”OneDrive storage”, app就会向资源服务器自动发起请求,我们就能进到该用户的OneDrive中了

    2.4K90
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券