文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

Office开发者计划-永久白嫖Office365

安装并激活Microsoft365 ​ 方式1:可点击上述仪表盘中的转到订阅,随后使用刚刚生成的管理员账号登录,进入页面则可下载需要的内容 ​ 方式2:使用Office Tool Plus...,之后访问并登陆作者搭建好的网站(使用Github账号),授权其实用你的应用客户端即可。...权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

11.2K32

基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

以授权码模式(Authorization Code Flow)为例,典型步骤如下:用户访问第三方应用:例如点击“使用Microsoft登录”按钮;重定向至Microsoft登录页:URL包含client_id...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...典型伪装策略包括:应用名称模仿官方工具:如“Microsoft Secure Access”、“Entra Verify Tool”;使用微软品牌图标:上传与Office 365相似的SVG或PNG图标...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4.3 刷新令牌生命周期过长在未启用条件访问(Conditional Access)的情况下,刷新令牌有效期可达90天。即使用户更改密码,旧令牌仍有效,导致凭证轮换失效。

20210
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Microsoft Teams 全球大瘫痪。。。

    八个多小时前微软在Microsoft 365状态Twitter官方帐户上透露:“我们接到了有关用户无法访问Microsoft Teams或使用任何功能的报告。”...微软在其Microsoft 365服务健康状态页面上进一步详述,受影响的客户在使用以下一项或多项服务时遇到了问题: •Microsoft Teams(访问、聊天和会议) •Exchange Online...(发送邮件出现延迟) •Microsoft 365 管理员中心(无法访问) •多项服务内的Microsoft Word(无法加载) •Microsoft Forms(无法通过Teams来使用) •Microsoft...Graph API(任何依赖此API的服务都可能受到影响) •Office Online(Microsoft Word 访问问题) •SharePoint Online(Microsoft Word...访问问题) •Project Online(无法访问) •PowerPlatform和PowerAutomate(无法使用数据库创建环境) •Microsoft Managed Destop内的自动补丁

    2.4K30

    基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

    摘要近年来,针对Microsoft 365(原Office 365)生态系统的网络钓鱼攻击呈现高发态势,传统依赖邮件网关与服务器端策略的防护手段已难以应对通过短信、社交媒体、语音通话等非邮件渠道传播的恶意链接...一旦授权,攻击者即可通过合法API令牌访问用户邮箱、日历等资源,规避传统邮件监控。这两种攻击均可通过非邮件渠道发起,使得基于邮件内容的过滤器形同虚设。...2.2 现有防御体系的局限性Microsoft自身提供了多项安全功能:Exchange Online Protection (EOP) 与 Microsoft Defender for Office 365...无法防御高度定制化钓鱼页:若攻击者使用全新域名且页面不含关键词,仅靠内容特征可能不足。无Graph API集成:当前版本不自动撤销会话或令牌,需管理员手动响应。...与Microsoft Graph API联动:在检测到钓鱼后,自动调用/revokeSignInSessions终结用户所有活动会话。

    19910

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    (2.2)恶意文档投递与初始访问附件多为伪装成PDF或Word文档的HTML文件,或嵌入恶意宏的Office文档。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...部分样本还部署了基于OAuth应用的持久化后门:POST https://graph.microsoft.com/v1.0/me/mailFolders/inbox/messageRulesAuthorization...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。...,LegisShield实现:恶意OAuth应用授权拦截率:94%;凭证钓鱼页面访问阻断率:87%;平均威胁响应时间从4.2小时降至18分钟;用户对安全干预的接受度达89%,认为“不影响日常工作流”。

    17410

    GraphRAG:终极 RAG 引擎 - 语义搜索、嵌入、矢量搜索等等!

    接着输入cd graph rag进入目录,并输入export graph rag_API_key填入你的API密钥。 你需要创建一个输入文件夹以存放所有文件或文档。...你还可以在.env文件中粘贴你的API密钥,如果使用其他模型,可以在此处进行配置。配置完成后,保存文件并运行代码。 最后,运行以下命令以启动对话:python -m graph rag query。...这样就可以在本地访问和使用RAG系统。我强烈推荐使用Ollama,它易于设置,只需设置端点即可。 下面提供官方的文档介绍、相关资源、部署教程等,进一步支撑你的行动,以提升本文的帮助力。...快速入门 建议使用 Solution Accelerator 包,该包提供了与 Azure 资源的端到端用户体验。 代码库指南 此代码库展示了如何利用知识图谱记忆结构来增强 LLM 输出。...使用了哪些性能指标? • GraphRAG 的局限性是什么?用户如何将其影响降到最低? • 哪些操作因素和设置有助于 GraphRAG 的有效和负责任使用?

    2.4K10

    ConsentFix攻击机制与OAuth授权滥用的防御对策研究

    这一转变虽提升了用户体验与多因素认证(MFA)的集成能力,却也催生了新型攻击面——攻击者不再直接窃取凭证,而是诱导用户主动授予恶意应用高权限访问权。...一旦授权成功,即使用户更改密码或启用MFA,攻击者仍可通过已授权的应用持续访问邮箱、日历、文件等敏感资源。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...(二)策略管理层:建立授权生命周期管理定期授权审计:每季度导出全组织应用授权清单,清理未使用或来源不明的应用;实施最小权限原则:推动业务部门使用权限更细的现代API(如Microsoft Graph的delegated...permissions with scopes);自动化撤销机制:当检测到可疑活动时,自动调用Microsoft Graph API撤销相关应用授权:# 使用Microsoft Graph API撤销用户授权

    16510

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    攻击者通过伪造IT部门通知、安全警报或软件更新提示,诱使用户访问看似合法的指令页面,并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...一旦授权完成,攻击者即可通过device_code兑换令牌,获得与用户同等的API访问权限。...并输入代码:ABC123”;用户信以为真,在微软官方页面输入代码并完成MFA;攻击者轮询令牌端点,成功获取access_token与refresh_token;利用令牌调用Microsoft Graph...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...即使用户撤销授权,若攻击者已导出refresh_token,仍可续期访问。

    13410

    陈希章(O365开发指南):Python在Office 365 开发中的应用

    我之前写的《Office 365 开发入门指南》一书,对Office 365开发进行了比较详细的阐述,有兴趣可以参考 《Office 365开发入门指南》上市说明和读者服务 Microsoft Graph...如果你用Python开发了一个应用程序,希望调用Microsoft Graph来访问Office 365的数据,例如联系人列表,邮件处理,文件分享等。...你可以通过下面的地址得到Microsoft Graph SDK,以及代码范例。 http://aka.ms/pythongraphsamples ?...Office 365 Add-ins with Python Office 365 Add-ins包括Office Add-ins和SharePoint Add-ins,在新的Web Add-ins的这种框架下...这里有一个Office Add-in 范例 https://github.com/OfficeDev/Groups-API-Office-Add-in-Python-Sample ?

    2.3K20

    利用Microsoft 365产品增强安全测试与分析活动

    利用Microsoft 365产品增强安全测试与分析活动在安全测试中使用Microsoft 365产品并不是一个新概念。长期以来,我一直在测试方案中利用Office产品的各种功能。...早期,我们经常使用恶意的Office文档进行初始访问,通过在包含宏的文档中嵌入恶意代码,当用户打开文件时执行。遗憾的是,使用VBA宏逻辑直接执行负载变得越来越困难,组织可能会完全阻止传入的宏。...随着Microsoft 365的出现,Office套件添加了一些可能在我们测试过程中有所帮助的额外功能。考虑这样一种场景:您获得了对组织的Microsoft 365环境的访问权限,但没有建立远程C2。...通常,我会在虚拟专用服务器(VPS)实例上设置一个受限的SSH用户,然后使用SSH将负载交付到端点或建立反向SSH隧道连接。通常,我发现可以使用TCP端口443建立出站SSH连接。...我建立这种访问的方法通常涉及使用宏做两件事。首先,我将受限用户(在VPS上)的SSH私钥放到被入侵用户的配置文件目录中。接下来,我将一个LNK文件放到某个会导致用户诱导执行的地方。

    24410

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    其标准流程如下:用户访问第三方应用(Client);Client重定向用户至授权服务器(如Microsoft Entra ID)的授权端点,携带client_id、redirect_uri、scope等参数...向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...可使用Microsoft Graph PowerShell批量设置:# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps

    26410

    win10 uwp 使用 Microsoft.Graph 发送邮件 注册应用创建 UWP 程序安装 nuget 包添加访问权限发送邮件

    在 2018 年 10 月 13 号参加了 张队长 的 Office 365 训练营 学习如何开发 Office 365 插件和 OAuth 2.0 开发,于是我就使用 UWP 尝试使用 Microsoft.Graph...经过了一天的测试终于成功使用发送邮件 本文告诉大家如何在 UWP 调用 Microsoft.Graph 发送邮件 在仔细阅读了Microsoft Graph 桌面应用程序 - 陈希章的文章之后,按照文章的方法尝试了很久终于成功发送了邮件...可以使用 Microsoft.Graph 调用 Office 365 的几乎所有功能,但是我只有成功使用邮件的功能,暂时就先告诉大家如何在 UWP 使用 Microsoft.Graph 发送邮件 之后的其他功能等我跑通了...在 Load 事件的函数添加自己的代码,首先使用 DelegateAuthenticationProvider 拿到访问的权限,在 Microsoft.Graph 的所有访问都需要先获得 OAuth 的权限...或者给 IE 可以用的代理,默认的 UWP 程序会使用 IE 的代理 如果看到这个页面,证明可以访问 ?

    2.4K30

    今天,GPT-4登陆Office全家桶,打工人的生产方式被颠覆了

    现在,借助 Microsoft 365 Copilot,我们通过先进 AI 和最通用的用户界面 —— 自然语言,赋予人们更多的能力,并使技术更易于访问。」...GPT-4 重磅登陆 Office 全家桶,真香 Copilot 集成到了 Microsoft 365 的全家桶中,在所有 Office 的应用程序中都可以被召唤出来,包括 Word、Excel、PowerPoint...它实际上是一个复杂的处理和编排引擎,将 GPT-4 等大模型的强大功能与 Microsoft 365 应用、 Microsoft Graph 中的业务数据结合起来,通过自然语言技术提供给每个人。...给 Copilot 的 prompt 首先会通过 Microsoft Graph(Microsoft 的统一数据 API)进行过滤,以获取更多上下文。...不得不说,对于 Office 全家桶,大多数人只会使用少数几个命令,如「为幻灯片制作动画」或「插入一个表格」,但 Microsoft 365 中的命令实际上有数千个。

    2.5K50

    Azure Active Directory 蛮力攻击

    Azure AD 无缝单点登录 Azure AD 无缝单点登录 (SSO) 改进了使用 Azure AD 标识平台(例如 Microsoft 365)的服务的用户体验。...image.png 用户尝试访问 Azure AD。 Azure AD 识别出用户的租户配置为使用无缝 SSO,并将用户的浏览器重定向到自动登录。 用户的浏览器尝试访问 Azure AD。...Microsoft AD FS文档建议禁用对 windowstransport 端点的 Internet 访问。但是,无缝 SSO 需要该访问权限。...Microsoft表示只有在 Office 2013 2015 年 5 月更新之前的旧版 Office 客户端才需要 usernamemixed 端点。 这种利用不仅限于使用无缝 SSO 的组织。...威胁参与者可以利用任何 Azure AD 或 Microsoft 365 组织中的自动登录用户名混合端点,包括使用直通身份验证 ( PTA ) 的组织。没有 Azure AD 密码的用户不受影响。

    1.9K10

    未检测到的 Azure Active Directory 暴力攻击

    Azure AD 无缝单一登录 Azure AD 无缝单点登录 (SSO) 改善了使用 Azure AD 标识平台(例如 Microsoft 365)的服务的用户体验。...Azure AD 识别出用户的租户配置为使用无缝 SSO 并将用户的浏览器重定向到自动登录。 用户的浏览器尝试访问 Azure AD。 Autologon 发送 Kerberos 身份验证质询。...Microsoft AD FS文档建议禁用对 windowstransport 端点的 Internet 访问。但是,无缝 SSO 需要该访问权限。...Microsoft指出,只有早于 Office 2013 2015 年 5 月更新的旧版 Office 客户端才需要 usernamemixed 终结点。 这种利用不仅限于使用无缝 SSO 的组织。...没有 Azure AD 密码的用户不受影响。 在本出版物中,没有已知的缓解技术来阻止使用自动登录 usernamemixed 端点。

    1.8K20

    基于Security Copilot的钓鱼邮件智能分拣机制研究

    该代理并非独立产品,而是深度嵌入Microsoft Defender for Office 365的工作流中,支持对用户通过“报告钓鱼”按钮提交的邮件进行实时分析。...2 分拣代理的技术架构与工作原理2.1 系统定位与触发机制分拣代理运行于Microsoft云安全基础设施之上,其激活条件为:用户在Outlook客户端点击“报告 > 钓鱼”;或管理员在Defender门户手动提交可疑邮件...上下文关联:查询Microsoft Graph,确认发件人是否为已知联系人、近期是否有类似通信。...Graph API提交反馈import requestsdef submit_feedback(message_id, is_phish, comment):url = f"https://graph.microsoft.com...5 安全与隐私考量尽管分拣代理运行于微软云环境,其设计遵循严格隐私原则:原始邮件内容不在Copilot中持久化存储;LLM推理在隔离容器中进行,无外部网络访问;所有反馈数据经匿名化处理,不关联具体用户身份

    22910

    RaccoonO365开发者落网背后:一场钓鱼即服务(PaaS)产业链的崩塌与重生

    ),恶意脚本可轻易读取并通过sendBeacon异步回传,即使用户关闭页面也不影响数据传输。...微软通过Cloudflare获取了Samuel注册域名时的元数据,并结合Telegram API日志锁定其设备指纹,最终由FBI将情报移交尼日利亚执法部门。...管理员可通过Microsoft Entra ID策略强制高风险用户使用FIDO2:# 使用Microsoft Graph PowerShell SDK启用FIDO2策略Connect-MgGraph -...CAE需满足两个前提:使用支持CAE的应用(如Outlook、Teams新版客户端);在Entra ID中启用“安全默认值”或自定义条件访问策略。...企业应定期扫描Have I Been Pwned、DeHashed等泄露数据库,或使用Microsoft Defender for Identity的“泄露凭据警报”功能。

    9710

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...关键词:OAuth 同意滥用;假冒微软应用;Entra ID;多因素认证绕过;Graph API;条件访问1 引言多因素认证(MFA)作为现代身份安全的核心防线,已在绝大多数企业环境中广泛部署。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志,也因数据量庞大而忽略异常。...可通过Microsoft Graph API动态评估权限风险:HIGH_RISK_SCOPES = {'Mail.ReadWrite', 'MailboxSettings.ReadWrite','User.ReadWrite.All

    22210

    GPT-4 Office全家桶发布,10亿打工人被革命

    神秘的Microsoft Graph 另外,这套系统中还存在一个神秘的组织——Microsoft Graph。...从技术上讲,Microsoft Graph是一个API,而应用程序则可以通过这个Graph「看到」你的电子邮件、日历、文件、使用模式和其他存储在微软云中的信息,如Outlook、OneDrive、Office...然后这些修改后的prompt会发送到GPT-4,并通过Microsoft Graph过滤,然后再发送回Microsoft 365应用程序。...但是,至于个人何时能够使用这些功能,微软暂时还未透露。 微软称,「未来将在定价和授权方面很快分享更多信息」。可以明确的是,Copilot将是Office 365订阅费之外的一个付费附加功能。...而数据显示,Office 365被全球超过100万家公司使用,仅在美国就有145,844名客户使用Office办公软件。

    2.4K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券