401尝试使用获取的访问令牌调用office 365 API时未经授权 - 腾讯云开发者社区

文章/答案/技术大牛

发布

PwnAuth——一个可以揭露OAuth滥用的利器

范围范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。...访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...目前有一个脚本可以调查Office 365占用者并计划添加其他云环境。六、总结 OAuth滥用攻击是一种危险且非传统的网络钓鱼技术，攻击者可利用此技术获取企业的机密数据。

2.1K2 0

从0开始构建一个Oauth2Server服务资源服务器

令牌内省端点仅供内部使用，因此您需要使用一些内部授权来保护它，或者只在系统防火墙内的服务器上启用它。验证范围 scope 资源服务器需要知道与访问令牌关联的范围列表。...过期令牌如果您的服务使用短期访问令牌和长期刷新令牌，那么您需要确保在应用程序使用过期令牌发出请求时返回正确的错误响应。...，他们应该尝试使用他们的刷新令牌获取一个新的访问令牌。...错误代码和未经授权的访问如果访问令牌不允许访问所请求的资源，或者如果请求中没有访问令牌，则服务器必须使用 HTTP 401 响应进行回复，并在响应中包含一个标头WWW-Authenticate。...invalid_token(HTTP 401) – 访问令牌已过期、撤销、格式错误或由于其他原因无效。客户端可以获取新的访问令牌并重试。

7053 0

您找到你想要的搜索结果了吗？

是的

没有找到

Office开发者计划-永久白嫖Office365

安装并激活Microsoft365 方式1：可点击上述仪表盘中的转到订阅，随后使用刚刚生成的管理员账号登录，进入页面则可下载需要的内容方式2：使用Office Tool Plus...，完成注册之后通过验证则激活成功（后续有关该账号的活动则可通过软件进行授权）自动续订自动续期 Office 365开发者订阅默认是90天有效期，到期须续期才可继续使用，微软会验证账户内是否应用了所提供的相关...API应用、服务等以此来检测开发者身份自动续期的项目有在线类的项目也有本地软件方式，其主要思路为注册Azure应用程序，申请api 授权项目/程序自动调用账号下的应用api ...，之后访问并登陆作者搭建好的网站（使用Github账号），授权其实用你的应用客户端即可。...，可用于生成和测试对 Microsoft Graph API 的请求 API需要的权限设定可在预览卡中查阅，授权后则可再次尝试调用响应 Postman 是一个可用于向 Microsoft

10.2K3 2

9月重点关注这些API漏洞

为了让大家的API更加安全致力于守护数字世界每一次网络调用小阑公司 PortalLab实验室的同事们给大家整理了9月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1 ...• 配置合适的防火墙规则以阻止未经授权的外部访问Hadoop Yarn集群和REST API接口。...具体来说，通过伪造特定格式的令牌进行请求，在未经授权的情况下访问其他项目或组织的资源。Google Cloud为应用程序提供了30天的宽限期，在应用程序被计划删除的时间起到永久删除之前。...小阑建议• 更新SDK和依赖项：确保使用的谷歌云SDK和相关依赖项是最新版本，以获取对已知漏洞的修复。• 密钥和凭据管理：审查和管理项目中的API密钥和凭证，确保合理的授权和访问控制策略。...漏洞危害：攻击者可以利用该漏洞绕过认证机制，未经授权地访问JumpServer管理系统，并获取到敏感信息或执行未经授权的操作，如远程访问服务器、执行命令、篡改系统配置等。

6281 0

Ollama未授权访问漏洞Nginx反向代理解决方案

在此漏洞下，未经授权的攻击者能够远程访问Ollama服务接口，进而执行诸如敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD已建议受影响的单位和用户尽快采取措施防范该漏洞攻击风险。...为了保障Ollama服务的安全性，本文提出使用Nginx作为反向代理，并通过设置认证头信息的方式防止未授权访问。...二、解决思路为有效解决Ollama未授权访问问题，确保其远程调用的安全性，本文利用Nginx反向代理并结合认证头信息进行验证。...验证认证效果未添加请求头访问：在未添加请求头的情况下直接访问Ollama服务，将会出现401错误页，表明认证失败。添加认证请求头访问：添加正确的认证请求头后，则可以正常调用Ollama服务。4....本文以认证头为例，给出了解决Ollama未授权访问问题的思路以及详细的实际配置文件。通过Nginx反向代理为Ollama WEB API服务设置认证头信息，能够有效防止未授权访问。

5351 0

5个REST API安全准则

cookie或内容参数发送，以确保特权集合或操作得到正确保护，防止未经授权的使用。...现实情况是，任何人都可以调用您的Web服务，所以假设每秒执行上百次失败的输入验证的人是没有好处的。考虑将API限制为每小时或每天一定数量的请求，以防止滥用。...401未授权 -错误或没有提供任何authencation ID /密码。 403禁止 -当身份验证成功，但身份验证的用户没有权限使用请求的资源。 404未找到 -当请求一个不存在的资源。...429太多的请求 -可能存在的DOS攻击检测或由于速率限制的请求被拒绝（1）401和403 401“未授权”的真正含义未经身份验证的，“需要有效凭据才能作出回应。”...403“禁止”的真正含义未经授权，“我明白您的凭据，但很抱歉，你是不允许的！” 概要在这篇文章中，介绍了5个RESTful API安全问题和如何解决这些问题的指南。

4.5K1 0

构建Vue项目-身份验证

通常，在开始使用新框架或新语言工作时，我会尝试查找尽可能多的最佳实践，而我更喜欢从一个易于理解，维护和升级的良好结构开始。...登录授权之后，将重定向到他们登录之前尝试访问的页面。对于登录视图，它仅在用户未登录时才可访问，因此我们添加了一个名为onlyWhenLoggedOut的元字段，设置为true。...' /** * 管理访问令牌存储和获取，从本地存储中 * * 当前存储实现是使用localStorage....： login - 准备请求并通过API服务从API获取令牌 logout - 从浏览器存储中清除用户资料 refresh token - 从API服务获取刷新令牌如果您注意到了，您会发现那里有一个神秘的...如果是，则我们正在检查401是否在令牌刷新调用本身上发生（我们不想陷入循环中）永久刷新令牌！）。然后，代码将刷新令牌并重试失败的请求，并将响应返回给调用方。

7.9K2 0

从0开始构建一个Oauth2Server服务发起认证请求

事实上，尝试解码访问令牌是危险的，因为服务器不保证访问令牌将始终保持相同的格式。下次您从该服务获取访问令牌时，完全有可能采用不同的格式。...有关使用刷新令牌获取新访问令牌的更多详细信息，请参见下文。如果您想了解有关登录用户的更多信息，您应该阅读特定服务的 API 文档以了解他们的建议。...有些人喜欢在当前访问令牌到期前不久获得一个新的访问令牌，以保存 API 调用失败的 HTTP 请求。...虽然这是一个非常好的优化，但它不会阻止您仍然需要处理如果访问令牌在预期时间之前过期时 API 调用失败的情况。...最安全的选择是授权服务器在每次使用刷新令牌时发出一个新的刷新令牌。这是最新的安全最佳当前实践中的建议，它使授权服务器能够检测刷新令牌是否被盗。

7033 0

Node.js-具有示例API的基于角色的授权教程

中使用Node.js API实现基于角色的授权/访问控制。...如果没有身份验证令牌，令牌无效或用户不具有“Admin”角色，则返回401未经授权的响应。...如果将角色参数留为空白，则路由将被限制到任何经过身份验证的用户，无论角色如何。在用户控制器中使用它来限制对“获取所有用户”和“按ID获取用户”路由的访问。...sub属性是subject的缩写，是用于在令牌中存储项目id的标准JWT属性。第二个中间件功能根据其角色检查经过身份验证的用户是否有权访问请求的路由。如果验证或授权失败，则返回401未经授权响应。...重要说明：api使用“"secret”属性来签名和验证用于身份验证的JWT令牌，并使用您自己的随机字符串对其进行更新，以确保没有其他人可以生成JWT来获得对应用程序的未授权访问。

6.8K1 0

SaaS攻击面到底有多大？如何防御常见SaaS攻击技术?

分析结果表明，当涉及到源代码存储库和托管SaaS应用程序的工件时，组织通常使用大约3个不同的提供商（中位数为3.5个）。...OAuth风险因素接下来，研究分析了组织在使用现代SaaS应用程序的复杂网络（通过OAuth授权相互连接）时所面临的风险。...常见的技术愿者上钩式网络钓鱼（Consent Phishing）：攻击者诱骗用户授予恶意应用程序访问敏感数据或功能的权限。凭据填充：使用泄露或被盗的凭据来获得对帐户的未经授权访问。...缓解策略用户培训：教育用户关于SaaS的网络钓鱼风险，以及不要跨服务重用密码的重要性。强大的访问控制：实现严格的权限并使用“最小权限原则”来限制未经授权访问的风险。尝试遵循访问控制的最佳实践。...定期监控：采用实时监控和警报机制，以快速识别和防止未经授权的访问尝试。 3. SaaS环境中的执行策略在该部分中，我们将探讨攻击者用于在受损的SaaS应用程序中执行恶意活动的方法。

4181 0

Nest.js 实战 (八)：基于 JWT 的路由身份认证鉴权

认证流程客户端将首先使用用户名和密码进行身份认证认证成功，服务端会签发一个 JWT 返回给客户端该 JWT 在后续请求的授权头中作为 Bearer Token 发送，以实现身份认证 JWT 认证策略...我们将使用在 API 请求的授权头中提供token的标准方法 jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),...// 这意味着，如果我们的路由提供了一个过期的 JWT ，请求将被拒绝，并发送 401 未经授权的响应。...Passport 会自动为我们办理 ignoreExpiration: false, // 使用权宜的选项来提供对称的秘密来签署令牌 secretOrKey:...) { // 获取当前 token const token = ExtractJwt.fromAuthHeaderAsBearerToken()(req); // 缺少令牌

7622 0

混淆重定向SVG钓鱼邮件技术分析

当该参数为真时，站点首先显示Cloudflare检查画面，接着是Office 365主题的人机验证/登录步骤；若参数缺失或为false，也许站点不会呈现真正的钓鱼表单。...作者调查发现，这些钓鱼页会预先获取Office 365登录对话框的内容或动画效果，给用户以熟悉的视觉反馈。有的攻击者还将企业的Logo嵌入假登录页以提升可信度。...如果拿到了会话令牌（Cookie），甚至可以绕过密码和MFA直接冒充用户访问账号。这就是所谓的会话Cookie劫持或令牌窃取，即问题中提到的“Cookie篡改”。...利用凭据进入其他服务许多用户往往使用相同密码于不同账户，攻击者可能尝试这些凭据登录用户的其他相关账户（如VPN、公司门户等），造成更大危害。...此外，URL中出现office365cloud=true参数也是不寻常的，可作为潜在钓鱼流量的标记。当检测到外部URL包含此类参数且域名非信任来源时，应重点检查。

4060 0

云攻击增长65%，中国成第二大来源国

云应用程序攻击使用智能驱动的蛮力技术(破解密码)和复杂的钓鱼方法，诱使受害者点击并暴露他们的身份验证凭证，从而侵入包括Microsoft Office 365和谷歌G Suite在内的云应用程序。...强行云应用攻击基于IMAP的密码喷涂攻击是最流行和广泛的技术，用于破坏Microsoft Office 365帐户。...在接受调查的Microsoft Office 365用户中，超过25%的用户遇到过未经本人授权的强行登陆，而超过60%的用户则成为主动攻击的目标。总体而言，2019年第一季度的成功率为44%。...攻击者通常会修改电子邮件转发规则，或者设置电子邮件委托来维护访问权限。他们还将使用引人注目的V**服务来绕过条件访问和基于地理位置的身份验证。...【中国IDC圈编译未经授权禁止转载】 2019年4月1日-5日，由世界卫生组织（WHO）、国际电信联盟（ITU）指导，中国信通院、国家卫健委国际交流与合作中心、上海市经信委、上海申康医院发展中心主办的

5603 0

关于Web验证的几种方法

验证（Authentication）是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。...它适用于 API 调用以及不需要持久会话的简单身份验证工作流。...流程未经身份验证的客户端请求受限制的资源返回的 HTTP401Unauthorized 带有标头WWW-Authenticate，其值为 Basic。...流程未经身份验证的客户端请求受限制的资源服务器生成一个随机值（称为随机数，nonce），并发回一个 HTTP 401 未验证状态，带有一个WWW-Authenticate标头（其值为Digest）以及随机数...当你需要高度安全的身份验证时，前端培训可以使用这种身份验证和授权方法。这些提供者中有一些拥有足够的资源来增强身份验证能力。利用经过反复考验的身份验证系统，可以让你的应用程序更加安全。

4.9K3 0

Keycloak Spring Security适配器的常用配置

生成secret的方法是在Keycloak控制台上修改对应客户端设置选项的访问类型为confidential,然后在安装中查看对应配置项。当访问类型不是confidential时该值为false。...如果启用，适配器将不会尝试对用户进行身份验证，而只会验证不记名令牌。如果用户请求资源时没有携带Bearer Token将会401。这是可选的。默认值为false。...”地引导未认证的用户到登录页面还是返回401状态。...expose-token JavaScript CORS 请求通过根路径下/k_query_bearer_token用来从服务器获取令牌的，好像是nodejs相关的后端应用使用的东西，我折腾了半天没有调用成功...credentials 当客户端的访问类型(access type)为Confidential时，需要配置客户端令牌，目前支持secret和jwt类型。参考public-client中的描述。

2.9K5 1

Django REST Framework-基于JSON Web Token的身份验证

返回的字典包含两个令牌：refresh和access。refresh令牌用于在用户的访问令牌过期时刷新令牌。access令牌用于每个API请求的身份验证。...在get()方法中，我们使用了request.user属性来获取当前经过身份验证的用户。...由于我们还使用了SessionAuthentication类，因此如果用户未经过身份验证，则会回退到会话身份验证。如果用户未经过身份验证，则会引发HTTP 401未经授权错误。...rest_framework_simplejwt.tokens.AccessToken',), 'TOKEN_TYPE_CLAIM': 'token_type',}上述选项中，ACCESS_TOKEN_LIFETIME和REFRESH_TOKEN_LIFETIME用于设置访问令牌和刷新令牌的过期时间...ROTATE_REFRESH_TOKENS和BLACKLIST_AFTER_ROTATION用于控制是否在使用新的刷新令牌时将旧的刷新令牌加入黑名单。ALGORITHM用于设置JWT使用的加密算法。

2.6K3 0

认证和授权的安全令牌 Bearer Token

概述 Bearer Token 是一种用于身份验证的访问令牌，它授权持有者（Bearer）访问资源的权限。...客户端通过特定的授权流程（如授权码流程、密码凭证流程等）获取 Bearer Token，之后便可在调用受保护资源时使用该 Token。...服务器接收到请求后，会检查请求头中的 Authorization 字段，如果它以 Bearer 关键字开头，服务器就会提取出后面的令牌，并使用令牌来验证请求的合法性和授权级别，确认无误后提供请求的资源。...客户端请求授权客户端向授权服务器发送请求，获取访问 Token。...客户端使用 Token 访问资源客户端在每次请求受保护的资源时，将 Bearer Token 放在请求头中。

2.6K2 0

未检测到的 Azure Active Directory 暴力攻击

Azure AD 无缝单一登录 Azure AD 无缝单点登录 (SSO) 改善了使用 Azure AD 标识平台（例如 Microsoft 365）的服务的用户体验。...image.png 用户尝试访问 Azure AD。 Azure AD 识别出用户的租户配置为使用无缝 SSO 并将用户的浏览器重定向到自动登录。用户的浏览器尝试访问 Azure AD。...Autologon 使用 AZUREADSSOACC 计算机帐户的密码哈希解密 ST，为用户颁发 DesktopSSOToken 访问令牌，并通过对 Azure AD 的重定向请求将此令牌发送到用户的浏览器...Microsoft指出，只有早于 Office 2013 2015 年 5 月更新的旧版 Office 客户端才需要 usernamemixed 终结点。这种利用不仅限于使用无缝 SSO 的组织。...威胁参与者可以利用任何 Azure AD 或 Microsoft 365 组织中的自动登录 usernamemixed 终结点，包括使用直通身份验证 ( PTA ) 的组织。

1.5K2 0

案例分析：利用OAuth实施钓鱼

比如说你想要从Office365获取用户的某些权限，那么你需要生成一个带有你想要请求的权限的链接，而权限则需要通过SCOPES这个参数来传递。 ?...accessToken 5、使用accessToken以API请求的方式获取所有资源下面就是详细的步骤了。...上图为Office365中允许API进行邮件读写删除的授权一旦设置好链接，就可以通过邮件进行发送了。...以Office365为例，在这例中，我们拥有足够的权限来操作邮件服务。 ? ? ? 如上图，我们可以查看用户的邮件，当然我们也能以用户的身份对外发送邮件。如果你要撤销此类授权怎么办?...这就需要你到Office 365的配置中，找到相关应用，点击取消授权，就可以成功撤销授权了。

2.2K9 0

使用Kubernetes身份在微服务之间进行身份验证

如果Kubernetes API可用作身份验证和授权服务器怎么办？让我们尝试一下。创建集群您将需要访问启用了 ServiceAccount卷投影功能[2] 的Kubernetes集群。...如果没有,则返回HTTP 401错误响应。2.使用Kubernetes API检查令牌的有效性。如果无效,它将以HTTP 403响应进行回复。3.最后,当令牌有效时,它将回复原始请求。...您使用Kubernetes和ServiceAccount保护了datastore免受未经授权的访问。只有拥有有效的令牌,您才能对此请求。但是,所有这些工作如何进行？让我们找出答案。...每次创建ServiceAccount时,Kubernetes都会创建一个secret。机密持有ServiceAccount的令牌,您可以使用该令牌来调用Kubernetes API。...4.如果对响应进行了身份验证,则datastore组件将以成功消息进行答复,否则为401错误。下图表示上述调用流程： •API组件已分配了ServiceAccount令牌。 ?

8.7K3 0

点击加载更多

PwnAuth——一个可以揭露OAuth滥用的利器

从0开始构建一个Oauth2Server服务资源服务器

Office开发者计划-永久白嫖Office365

9月重点关注这些API漏洞

Ollama未授权访问漏洞Nginx反向代理解决方案

5个REST API安全准则

构建Vue项目-身份验证

从0开始构建一个Oauth2Server服务发起认证请求

Node.js-具有示例API的基于角色的授权教程

SaaS攻击面到底有多大？如何防御常见SaaS攻击技术?

Nest.js 实战 (八)：基于 JWT 的路由身份认证鉴权

混淆重定向SVG钓鱼邮件技术分析

云攻击增长65%，中国成第二大来源国

关于Web验证的几种方法

Keycloak Spring Security适配器的常用配置

Django REST Framework-基于JSON Web Token的身份验证

认证和授权的安全令牌 Bearer Token

未检测到的 Azure Active Directory 暴力攻击

案例分析：利用OAuth实施钓鱼

使用Kubernetes身份在微服务之间进行身份验证

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐