microsoft graph REST API中是否有用于列出事件的端点(API - 腾讯云开发者社区

文章/答案/技术大牛

发布

枚举 WordPress 用户的 6 种方法

如果你正在测试WordPress网站的安全性，你很可能要看一下REST端点。默认情况下，用户可以通过路由"/wp-json/wp/v2/users "列出。...在最新的WordPress版本中，开启后你会得到用户名和哈希的电子邮件。有经验的WordPress管理员和用户都知道这种潜在的泄露。因此，我们可以在网上看到各种关于如何隐藏这些信息的教程。...HTTP 参数“rest_route” 我们展示的第一个绕过是滥用替代路径到达同一端点。...这是由第三方安全插件或手动禁用头像（设置>讨论>头像）造成的。设置，将在网页和REST响应中隐藏头像。我们也找到了一个解决这些问题的方法。该端点支持参数 "搜索"。...它的值与所有用户的字段匹配，包括电子邮件地址。通过简单的自动化，有可能发现每个电子邮件地址。与匹配的电子邮件相关的用户信息将在JSON响应中返回。

5.1K2 0

【REST架构】OData、JsonAPI、GraphQL 有什么区别？

据我所知，OData 是 Salesforce、IBM、Microsoft 使用的标准，并且非常成熟。为什么要切换到 JsonAPI 和/或 GraphQL？有真正的好处吗？...有许多用于流行编程语言的库 - .NET、Java、JavaScript、PHP 和 Ruby。该规范允许动态资源，并且有一个服务文档列出了所有 API 端点供客户端发现。...这个初稿是从 Ember Data 的 REST 适配器隐式定义的 JSON 传输中提取的。该规范的当前稳定版本是 1.0。JSON API 规范适用于大多数编程语言，包括客户端和服务器端。...这种新模型更适合开发人员使用，但它相对于 REST 的优势是值得商榷的。鉴于其年轻，生态系统尚未成熟。为了清楚和完整起见，我将 OpenAPI 包括在列表中，尽管它并不完全是 API 规范。...选择上述任何一项的好处都很小，特别是如果您的项目是中小型项目。您的 API 实现的规范是否重要？应该不多吧。只需专注于构建一致且记录良好的 API。

2.3K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...官方图标；重定向URI：指向攻击者控制的服务器（用于接收授权码）；API权限：请求高危权限组合，例如：["Mail.Read","MailboxSettings.ReadWrite","User.ReadWrite.All...，并记录事件ID 53003。...可通过Microsoft Graph API动态评估权限风险：HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

2391 0

api mgmnt API 参考

此参考列出了 /api/mgmnt/ 服务中的端点，所有这些端点都适用于较新的 REST 服务。下表总结了端点并指出它们是否也适用于手动编码的 REST 服务。...DELETE /api/mgmnt/v2/:ns/:app删除 REST 服务YESnoGET /api/mgmnt/列出此服务器上启用 REST 的 Web 应用程序YESYESGET /api/mgmnt.../v1/:ns/restapps列出命名空间中启用 REST 的 Web 应用程序YESYESGET /api/mgmnt/v1/:ns/spec/:app返回 REST 服务的 OpenAPI 2.0...规范noYESGET /api/mgmnt/v2/列出此服务器上的 REST 服务（包括任何没有关联 Web 应用程序的服务）YESnoGET /api/mgmnt/v2/:ns列出命名空间中的 REST...它忽略任何手动编码的 REST 服务。GET /api/mgmnt/ – 返回一个数组，其中包含有关所有命名空间中启用 REST 的 Web 应用程序的信息。

2.7K2 0

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

然而，近期多起安全事件表明，攻击者正通过滥用Microsoft Entra ID（原Azure AD）的OAuth 2.0授权框架，绕过MFA保护，直接获取对Microsoft 365账户的持久化访问权限...OAuth 2.0作为现代身份联合与资源授权的标准协议，在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作，即可授予外部应用对其邮箱、日历、文件等资源的访问权限。...2025年初，多家安全机构报告了多起利用此手法的攻击事件。...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

2501 0

《ASP.NET Core 与 RESTful API 开发实战》-- （第7章）-- 读书笔记（下）

它作为 REST 统一界面约束中的一个子约束，是 REST 架构中最重要、最复杂，也是构建成熟 REST 服务的核心 Richardson 成熟度模型是根据 REST 约束对 API 成熟度进行衡量的一种方法...实现同样的目的，但它们各自的实现方式以及特点有较大的差异，主要体现在：（1）端点：对 REST 而言，每一个 URL 相当于一个资源，而 GraphQL 通过一个端点可以返回用户所需要的任何数据（...2）请求方式：REST 充分使用 HTTP 动词来访问不同的端点，而 GraphQL 所有请求都是向服务器相同端点发送类似 JSON 格式的信息（3）资源表现形式：REST 得到的资源是事先定义好的固定的数据结构...GraphQL 仅使用一个端点即可执行并响应所有 Graph 查询请求，因此它完全可以与 Library.API 项目中现有的 REST 端点共存，弥补 RESTful API 的不足添加nuget.../// /// 用于接收客户端请求正文中的 Graph 查询 /// public string Query {

1.3K1 0

Office开发者计划-永久白嫖Office365

自动续期的项目有在线类的项目也有本地软件方式，其主要思路为注册Azure应用程序，申请api 授权项目/程序自动调用账号下的应用api 创建注册应用【在Azure后台仪表盘下申请】，...版程序自动配置添加API权限必须手动配置API权限可以选择相应的API进行配置此处以Microsoft Graph为参考，选择“委托的权限”，根据列出的API权限需求表进行选择...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门...将下载的包解压缩到目录中，然后转到命令行界面中的 graph-tutorial 目录输入composer install 安装项目依赖项 // 如果有指定php版本要求可临时使用下述指令忽略版本要求

11.4K3 2

微服务设计指南

正式定义 “微服务架构风格是一种将单个应用程序开发为一组小型服务的方法，每个小服务运行在自己的进程中，并且以轻量级机制（通常是HTTP REST API）通信。...服务通过使用定义良好的API（智能端点）和简单协议如基于HTTP 的REST协议（哑管道）相互通信。...反过来，智能端点的概念就容易理解了，也就是将与某服务相关的处理都限定在微服务的范畴之内，通信过程中的微服务端点是“智能”的，这也从一个方面体现了微服务“高内聚”的含义，有了高内聚，才能具备自治和独立性，...API网关风格的微服务体系结构（图片来自：Microsoft Azure Docs），是用于微服务的最常见的设计模式。...用于在线购物应用程序的微服务体系结构（图片：microsoft.com）此体系结构是由使用Microsoft技术的Microsoft开发人员提出的。

1.7K1 0

微服务设计指南

1.5K3 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

2 OAuth 2.0授权码模式与企业部署现状在企业环境中，OAuth 2.0最常采用授权码模式（Authorization Code Flow），尤其适用于具备后端服务的Web应用。...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...该流程的安全性依赖于若干前提：redirect_uri必须严格匹配预注册值，防止授权码泄露至攻击者控制的端点；client_secret仅由可信Client持有，用于证明其身份；用户授权界面清晰展示应用名称...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...= {"Authorization": f"Bearer {token}"}# 列出用户邮箱文件夹resp = requests.get("https://graph.microsoft.com/v1.0

2831 0

使用 dotnet-monitor 分析.NET 应用程序

dotnet-monitor 是 .NET Core 命令行接口 (CLI) 工具, 可以很方便的在dotnet环境中分析我们的应用程序，需要注意的是，目前它还只是一个实验性的工具在这之前，我们使用的有...在运行dotnet应用程序时，不同的本地环境和生产环境中的差异可能使收集诊断工件（例如日志，跟踪，过程转储）变得困难, 所以需要通过公开一致的REST API来简化诊断的流程，而不受程序环境的影响，可以更方便的分析程序的问题.../dotnet/nightly/monitor:5.0.0-preview.1 --urls http://*:52323 端点列表你可以访问 http://localhost:52323, 这个 REST...API 开放了以下端点，pid 是 processId 进程Id，我们需要找到需要监控的程序的进程id，这里我本地的进程id是21856 •/processes•/dump/{pid?}...REST API, 你可以在 github 关注这个项目，了解它后台是如何工作的 ?

8891 0

使用 dotnet-monitor 分析.NET 应用程序

在运行dotnet应用程序时，不同的本地环境和生产环境中的差异可能使收集诊断工件（例如日志，跟踪，过程转储）变得困难, 所以需要通过公开一致的REST API来简化诊断的流程，而不受程序环境的影响，可以更方便的分析程序的问题.../dotnet/nightly/monitor:5.0.0-preview.1 --urls http://*:52323 端点列表你可以访问 http://localhost:52323, 这个 REST...API 开放了以下端点，pid 是 processId 进程Id，我们需要找到需要监控的程序的进程id，这里我本地的进程id是21856 /processes /dump/{pid?}...CPU Stack(栈), Http 请求的开始和结束事件，来自 EventSourceLogger 和 Microsoft.Extensions.Logging 的日志，Runtime 运行时和 ASP.NET...是一个针对与 dotnet-monitor的ui项目，这得益于 dotnet-monitor 提供了一套便捷的 REST API, 你可以在 github 关注这个项目，了解它后台是如何工作的

8350 0

运营数据库系列之应用支持

.Net界面支持 Microsoft.Phoenix.Client nuget包为您提供了可用于开发.Net应用程序的兼容类的集合。...您可以使用Java客户端API对Apache HBase表执行操作。您可以开发可用于创建表，插入数据的Java应用程序。本机Java客户端API提供了编程访问。...OpDB中的Apache Phoenix提供了JDBC SQL端点来与存储在Apache HBase中的数据进行交互。...在新版本的CDP数据中心中测试应用程序，并从Cloudera Manager访问内置的指标系统，以查看一切是否按预期进行。动态架构变更 Apache HBase中的列族可能包含一个或多个列。...您可以使用REST服务器创建，删除表，以及执行其他具有REST端点的操作，这些端点在此处的表中有所描述：http : //hbase.apache.org/book.html#_using_rest_endpoints

2.1K0 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

并输入代码：ABC123”；用户信以为真，在微软官方页面输入代码并完成MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...4.4 监控与审计异常OAuth活动通过Microsoft 365 Defender或Azure AD Audit Logs，可追踪以下高风险事件：Sign-in logs 中的“Device code...authentication”事件；Application usage logs 中的非常规应用授权；Token issuance logs 中的异常客户端ID或权限范围。

1971 0

BUG预警-6款好用的API监控工具

这通常与延迟相关端点：请求所针对的端点参数：端点的输入环境：环境的执行细节（即登台、生产）成功：请求是否失败 HTTP 状态代码：请求的网络代码。...我们可以调查端点的性能，快速找到失败的客户请求，并在新环境中测试不同的配置。现在我们已经讨论了API监控的重要因素和API指标，我们可以看看一些好用的API监控工具。...Postman将每个监控实例（大概是每个API）称为一个监控器。Postman监视器只能访问公共可用的端点。如果我们使用云Postman，则可以在云服务器中运行、查看和安排每个集合的API请求。...相反，Loggly 用于解析、搜索、组织、查看和分析日志数据。因此，Loggly是一个可以访问API日志的工具，它可能是从功能测试中创建的，并允许用户查看数据。...然后，我们讨论了我们应该何时开始寻找合适的工具并完成工具集成。接着，我们概述了API监控工具应收集的用于分析和错误检测的指标和分析。最后，我们列出了市面上好评较多的API监控工具。

3.4K2 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

若用户已处于活动会话（即已登录Outlook Web），系统将直接显示授权同意页面，列出请求的权限范围（如“读取您的邮件”、“访问您的文件”）。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...四、企业授权管理现状与漏洞尽管主流云平台提供应用授权管理界面（如Microsoft Entra ID中的“应用权限”面板），但多数企业在实践中存在以下问题：第一，授权可见性不足。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1901 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

本文旨在剖析政治定向钓鱼的技术本质，并构建适配其组织特性的防御体系。（2）攻击特征与战术分析通过对英国议会事件中泄露的邮件样本及恶意文档进行复现分析，可归纳出以下典型攻击链。...例如，发送一封看似来自《卫报》记者的邮件：“我们正在撰写关于您提案的报道，请在此OneDrive链接中查看事实核查草稿”，链接指向攻击者控制的SharePoint站点，页面模仿Microsoft登录界面...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门：POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。

2011 0

.NET周报【6月第4期 2023-06-25】

-6/ 将 Microsoft Forms（一种用于创建调查的服务）微服务迁移到 .NET 6 的案例研究。...Microsoft Forms 是使用 .NET Framework 4.7.2 的 WebForms 和 Web API 构建的微服务，但前端 REST API 和后端 REST API 服务已迁移到...【英文】使用委派权限和 Microsoft Graph 在 ASP.NET Core 中重置密码 https://damienbod.com/2023/06/19/reset-passwords-in-asp-net-core-using-delegated-permissions-and-microsoft-graph.../ 了解如何在 ASP.NET Core 应用程序中使用 Microsoft Graph 重置用户密码。...【英文】将您的 .NET Minimal API 端点视为应用程序层 https://timdeschryver.dev/blog/treat-your-net-minimal-api-endpoint-as-the-application-layer

2.1K2 0

无服务器的十大属性

IBM， Microsoft和Google在公共云中拥有自己的FaaS产品，有超过六个开源无服务器项目正在引起开发人员的注意。预计今年将出现这一细分市场中出现的新平台。...致命的组合产生了一个强大的平台，可以实现许多有趣的用例。客户应仔细评估无服务器平台是否与API网关良好集成。 4.开发人员生产力今天开发人员使用的大多数IDE都不是为现代DevOps进程设计的。...亚马逊再次引入无服务器应用程序模型（SAM），用于声明包括AWS Lambda资源在内的整个堆栈。这些模板可以与git集成以实现一致的版本控制。Microsoft还支持通过ARM部署Azure功能。...REST端点和自动化与大多数基于云的交付模型一样，FaaS必须完全自动化。只有当平台支持用于执行通过门户或CLI完成的所有操作的API时，才可以执行此操作。...它应该支持开箱即用的HTTPS端点以实现安全传输。该平台应具有足够的挂钩，以便与各种事件源轻松集成。AWS Lambda等专有平台仅支持与S3， Kinesis和 DynamoDB等服务的集成。

2.1K3 0

Flink Savepoint深度解析：版本管理、升级部署与实操全指南

而Savepoint是用户手动触发的全局状态快照，主要用于版本管理、有状态升级或蓝绿部署等场景。Savepoint需要显式调用命令或API生成，并支持跨作业、跨版本的状态迁移。...实操进阶：通过REST API自动化Savepoint操作理解 REST API 在 Savepoint 自动化中的价值在 Flink 的日常运维中，手动通过 CLI 触发 Savepoint 虽然直接有效...通过 REST API 实现自动化，能够显著提升工作流的一致性和可重复性，尤其适合集成到 CI/CD 流水线中，支持蓝绿部署、版本升级等高级场景。...核心 API 端点及功能 Flink 的 REST API 提供了多个端点用于 Savepoint 操作，主要围绕 Jobs 资源进行。...列出已存在的 Savepoint 注意：Flink 本身不提供直接列出所有 Savepoint 的端点，但可以通过外部存储系统（如 HDFS 或 S3）的 API 或命令行工具间接实现，因为 Savepoint

2531 0

点击加载更多

枚举 WordPress 用户的 6 种方法

【REST架构】OData、JsonAPI、GraphQL 有什么区别？

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

api mgmnt API 参考

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

《ASP.NET Core 与 RESTful API 开发实战》-- （第7章）-- 读书笔记（下）

Office开发者计划-永久白嫖Office365

微服务设计指南

微服务设计指南

高级OAuth钓鱼攻击的演化机制与防御体系构建

使用 dotnet-monitor 分析.NET 应用程序

使用 dotnet-monitor 分析.NET 应用程序

运营数据库系列之应用支持

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

BUG预警-6款好用的API监控工具

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

.NET周报【6月第4期 2023-06-25】

无服务器的十大属性

Flink Savepoint深度解析：版本管理、升级部署与实操全指南

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐