- 综合排序
- 最热优先
- 最新优先
- 来自专栏Khan安全团队
通过 Beacon 获取 Microsoft Entra 刷新令牌
背景知识 主刷新令牌 (PRT) 是 Azure Active Directory (现称为 Entra) 中用于身份验证的关键组件。 该 BOF 利用已通过浏览器向 Entra 进行身份验证的用户会话,通过以下步骤获取访问和刷新令牌: 启动新的浏览器窗口,针对指定的 Entra 客户端 ID 和范围启动授权码流程。 使用捕获的授权码向 Entra 服务请求访问令牌和刷新令牌。 将获取的令牌展示给操作员。 然而,使用该 BOF 时需特别注意以下事项: 指定的客户端 ID 必须在 Entra 租户中配置为允许使用 http://localhost 作为重定向 URI。 刷新令牌的有效期取决于 Entra 租户的配置,通常较长,但仍需定期轮换以维持访问。
77510编辑于 2025-05-22 - 来自专栏FreeBuf
如何使用AzurEnum快速枚举Microsoft Entra ID(Azure AD)
AzurEnum是一款针对Azure的安全工具,在该工具的帮助下,广大研究人员可以轻松快速地枚举Microsoft Entra ID(Azure AD)。 功能介绍 1、支持枚举常见信息,例如用户数量、组、应用程序、Entra ID许可证、租户ID等; 2、支持枚举常规安全设置,例如组创建、同意策略、访客访问等; 3、管理Entra ID角色; 4、PIM xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 读取带颜色高亮的文本输出(Linux支持): less -r out.txt 工具运行截图 主界面 基本信息 常规设置 Entra
58410编辑于 2024-05-17 Cohesity Identity Resilience 保护及恢复 AD、Entra ID
Identity Threat Detection and Response, 身份威胁检测与响应)功能:漏洞评估 (Vulnerability Assessment):基于专业的威胁情报,持续监测 AD 和 Entra Entra ID 变更追踪 (Entra ID Change Tracking):近乎实时地监控角色分配、组成员变动、用户属性修改。 Entra ID 的安全漏洞:攻击前:持续检测:持续检查身份安全态势,检测错误配置,标记风险变更。 消除隐患:监测 200+ 种针对 AD 和 Entra ID 的暴露指标 (IOE),大幅缩减攻击面。 识破潜伏:揭示攻击者在混合环境中的隐蔽横向移动,确保持续可视化,阻止攻击者获取 AD 和 Entra ID 的初始访问权限。
12910编辑于 2026-04-02- 来自专栏网络安全技术点滴分享
快速提升Entra ID安全性的实用指南
Entra Connect快速保护Entra ID清单用户默认配置默认情况下,用户能够注册应用程序和创建新租户。 用户设备设置操作:将"用户可以将设备加入Microsoft Entra"设置为"选定",并添加一个允许将设备加入Entra的组配置条件访问策略,要求在将设备加入Entra时需MFA,或将配置"注册或加入 使用条件访问策略保护Entra ID条件访问策略在第一因素身份验证(用户名和密码)之后应用。这需要Entra P1许可。 到Entra ID防御Entra Connect将Entra Connect服务器、SQL服务器/数据库和服务帐户视为Tier 0(如域控制器)。 确保Entra Connect服务器和SQL服务器/数据库位于顶级管理员OU中。限制应用于Entra Connect相关系统的组策略。限制Entra Connect相关系统上的本地管理员权限。
27710编辑于 2025-10-21 - 来自专栏公共互联网反网络钓鱼(APCN)
基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略
关键词:Entra ID;B2B 协作;TOAD 攻击;社会工程;身份安全;Azure AD;钓鱼防御1 引言企业数字化转型加速了对云身份服务的依赖,微软 Entra ID 已成为全球数百万组织的核心身份基础设施 2024 年底,安全研究人员披露了一起针对 Entra B2B 邀请功能的新型钓鱼活动。 2 技术背景2.1 微软 Entra ID B2B 协作机制Entra ID 的 B2B 功能允许组织邀请外部用户作为“访客”(Guest User)加入其租户。 3 攻击机制分析3.1 邀请邮件的合法性构造攻击者首先需获得 Entra 租户中的邀请权限。 4.1 策略层:限制邀请权限首要措施是收紧 Entra ID 中的外部协作策略。
22200编辑于 2025-12-20 AD域攻防权威指南:三十七.使用AzureHound对Microsoft Entra ID进行分析(一)
一、AzureHound简介AzureHound是一款由Go语言编写的开源工具,其主要通过调用MSGraph和AzureRESTAPIs来从MicrosoftEntraID及AzureResourceManager(AzureRM)中采集数据,且无需依赖任何外部组件,AzureHound扩展了BloodHound的功能,可帮助安全人员系统地梳理出当前MicrosoftEntraID中的潜在攻击路径
15910编辑于 2026-02-10- 来自专栏公共互联网反网络钓鱼(APCN)
寄生在“官方邀请”里的骗局:微软 Entra 访客功能成钓鱼新温床,TOAD 攻击席卷全球企业
攻击者不再依赖伪造发件人地址或拼写错误的域名,而是将矛头直指 微软官方基础设施本身——具体而言,是 Microsoft Entra ID(原 Azure Active Directory)中的 B2B 据 SC World 于2025年11月18日报道,威胁行为者正利用微软合法的 invites@microsoft.com 邮箱地址,向目标企业员工发送看似正规的 Entra 租户协作邀请邮件。 二、技术深潜:为何 Entra 邀请机制成了“完美信封”?从攻防角度看,Microsoft Entra B2B 邀请功能存在几个关键设计特性,使其极易被滥用:1. 技术示例:如何检测异常 Entra 邀请?企业可通过 Microsoft Graph API 监控可疑邀请行为。 结语:当信任被武器化,安全必须进化微软 Entra 钓鱼事件标志着网络犯罪进入“高保真欺骗”时代。攻击者不再满足于模仿官方,而是直接征用官方通道,将信任本身变成武器。
26110编辑于 2026-01-15 - 来自专栏网络安全技术点滴分享
Windows Hello for Business 逐步部署指南:认证模型与配置实战
混合模型:适用于身份从 Active Directory 同步至 Microsoft Entra ID(即混合身份)且需面向本地和云资源实现单点登录(SSO)的企业。 信任类型指 Windows Hello for Business 向 Active Directory 进行身份验证的方式,不影响向 Microsoft Entra ID 的认证(故不适用于纯云模型)。 共有三种信任类型:云 Kerberos:通过 Microsoft Entra Kerberos 直接请求 Kerberos 票据,实现本地资源认证。 此方式需两项配置:启用 Microsoft Entra Kerberos:使 Microsoft Entra ID 能生成用于通过 Active Directory 进行本地认证的票据。
34010编辑于 2025-08-19 - 来自专栏网络安全技术点滴分享
Storm-0501威胁组织利用云技术实施勒索攻击的技术分析
攻击链分析本地环境入侵与云环境渗透Storm-0501首先通过域管理员权限入侵本地Active Directory环境,然后利用Entra Connect Sync目录同步账户(DSA)枚举用户、角色和 身份权限提升攻击者识别出分配给Microsoft Entra ID全局管理员角色的非人类同步身份,该账户缺少多因素认证(MFA)注册。 通过重置用户的本地密码,利用Entra Connect Sync服务将新密码同步到云身份,成功通过MFA注册绕过条件访问策略。
31810编辑于 2025-09-28 - 来自专栏红蓝对抗
新威胁——微软详细说明Storm-0501如何利用云平台传播勒索软件
随后,他们利用同步服务器漏洞,将攻击目标转向了Microsoft Entra ID(原Azure AD)。 一项关键策略是攻破 Entra Connect Sync 目录同步帐户 (DSA),从而可以使用 AzureHound 等工具枚举云资源。 随后,他们利用同步服务器漏洞,将攻击目标转向了Microsoft Entra ID(原Azure AD)。 一项关键策略是攻破 Entra Connect Sync 目录同步帐户 (DSA),从而可以使用 AzureHound 等工具枚举云资源。 他们通过在本地重置该帐户的密码(密码重置通过云同步传播),获得了完整的 Entra ID 访问权限。
22410编辑于 2025-11-14 - 来自专栏公共互联网反网络钓鱼(APCN)
基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究
然而,近期多起安全事件表明,攻击者正通过滥用Microsoft Entra ID(原Azure AD)的OAuth 2.0授权框架,绕过MFA保护,直接获取对Microsoft 365账户的持久化访问权限 OAuth 2.0作为现代身份联合与资源授权的标准协议,在Microsoft Entra ID中被广泛用于第三方应用集成。用户通过一次授权操作,即可授予外部应用对其邮箱、日历、文件等资源的访问权限。 2 OAuth 2.0在Microsoft Entra ID中的授权流程为理解攻击原理,需首先厘清合法OAuth授权流程。 3 攻击技术路径分析3.1 恶意OAuth应用注册与伪装攻击者首先在Microsoft Entra ID公共租户中注册一个新应用。 4 企业安全配置中的薄弱环节尽管微软提供多项安全控制,但实际部署中普遍存在以下问题:4.1 第三方应用授权策略宽松默认情况下,Microsoft Entra ID允许所有用户注册和授权第三方应用。
42310编辑于 2025-12-02 - 来自专栏公共互联网反网络钓鱼(APCN)
基于OAuth同意滥用的假冒微软应用钓鱼攻击研究
摘要近年来,攻击者利用Microsoft Entra ID(原Azure AD)的多租户应用注册机制,创建高度仿真的假冒OAuth应用,诱导用户在合法微软授权页面授予高权限(如Mail.Read、User.ReadWrite.All 关键词:OAuth 同意滥用;假冒微软应用;Entra ID;多因素认证绕过;Graph API;条件访问1 引言多因素认证(MFA)作为现代身份安全的核心防线,已在绝大多数企业环境中广泛部署。 用户点击链接后,被重定向至真实的Microsoft Entra ID OAuth同意页面,在看似无害的提示下授予Mail.Read、Calendars.Read、User.ReadWrite等权限。 2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。 3 现有防御机制的局限性3.1 默认允许用户自助同意多数企业未修改Entra ID默认策略,允许用户对多租户应用自行授权。
30710编辑于 2025-12-04 - 来自专栏bisal的个人杂货铺
《Introducing MSSQL MCP Server》
For the first time You will be prompted to authenticate using Entra authentication. Ensure your database has necessary access for the authenticated Entra user. For the first time You will be prompted to authenticate using Entra authentication. Ensure your database has necessary access for the authenticated Entra user.
38710编辑于 2025-11-12 - 来自专栏公共互联网反网络钓鱼(APCN)
FIDO 降级攻击的机理分析与纵深防御策略研究
本文系统剖析该攻击的技术原理、实施路径与现实可行性,基于对Microsoft Entra ID等主流平台的实证分析,指出“多因素共存”策略在缺乏精细化访问控制时所引入的安全盲区。 2025年8月,Proofpoint研究人员公开演示了针对Microsoft Entra ID的FIDO降级攻击概念验证(PoC),通过修改PhaaS(Phishing-as-a-Service)工具包 2.2 攻击流程分解以Proofpoint针对Entra ID的PoC为例,攻击流程可分为四步:步骤一:诱导用户访问钓鱼站点攻击者发送高度仿真的钓鱼邮件(如“您的安全密钥需要重新验证”),内含指向secure-microsoft-login )| where downgrade_attempts > 1| alert "Potential FIDO Downgrade Attack"5 实验验证5.1 测试环境IdP:Microsoft Entra ID(免费版)攻击模拟器:定制Evilginx2,注入FIDO降级逻辑防御系统:自研策略执行点(PEP)与风险引擎5.2 对照组设置对照组A:默认Entra ID配置(FIDO + SMS回退)实验组
48310编辑于 2025-12-04 微软正式开源!王炸!
Microsoft Entra ID 认证:为托管在 Azure 上的数据库添加您的 Microsoft Entra ID 账户。微软真的是写插件都不会忘了宣传自己的Azure啊。
11210编辑于 2026-03-31RDP远程桌面协议有哪些属性?
Desktop 远程桌面服务 远程 PC 连接 enablerdsaadauth Syntax: enablerdsaadauth:i:<value> 描述 :确定客户端是否使用 Microsoft Entra 支持价值观 : 0:连接不会使用 Microsoft Entra 认证,即使远程电脑支持。 1:如果远程 PC 支持,连接将使用 Microsoft Entra 认证。 该属性仅适用于非 Windows 客户端和未加入 Microsoft Entra 的本地 Windows 设备。该地产正在被 “赋能萨阿多特 ”所取代。 支持价值观 : 0: 满足要求的 Windows 设备将成功连接 Microsoft Entra 加入会话主机,但其他连接将失败。 1:连接到 Microsoft Entra 加入主机的连接会成功,但连接会话主机时只能输入用户名和密码凭证。
19510编辑于 2026-03-19- 来自专栏公共互联网反网络钓鱼(APCN)
高级OAuth钓鱼攻击的演化机制与防御体系构建
关键词:OAuth 2.0;钓鱼攻击;PhaaS;令牌劫持;条件访问;Microsoft Entra ID1 引言OAuth 2.0协议自标准化以来,已成为现代Web与移动应用实现第三方授权的事实标准。 其标准流程如下:用户访问第三方应用(Client);Client重定向用户至授权服务器(如Microsoft Entra ID)的授权端点,携带client_id、redirect_uri、scope等参数 以Tycoon为例,攻击者首先在Microsoft Entra ID开发者门户注册一个看似合法的应用(如“SecureDoc Viewer”),声明所需权限(如Mail.Read, Files.Read.All 例如:// Microsoft Entra ID 应用注册配置"web": {"redirectUris": ["https://app.corp.com/auth/callback","https:/ 例如,要求访问令牌必须来自已加入Entra ID的设备,且IP地址位于企业网络:// Conditional Access Policy 示例{"conditions": {"applications"
37210编辑于 2025-12-13 - 来自专栏公共互联网反网络钓鱼(APCN)
OAuth 2.0 设备码流程滥用与 Tycoon2FA 钓鱼攻击防御研究
流程参与方包含:设备客户端(攻击者伪造的恶意客户端)、授权服务器(微软 Microsoft Entra ID)、用户终端(用户电脑 / 手机)、资源服务器(Microsoft 365 邮件、OneDrive 3.3 核心技术实现细节3.3.1 设备码请求接口调用攻击者模拟合法设备客户端,调用 Microsoft Entra ID 设备码授权接口:httpPOST /oauth2/v2.0/devicecode 4 设备码钓鱼攻击检测与防御技术方案4.1 协议流程级防御:禁用非必要设备码流程企业若无物联网设备、无输入终端认证需求,直接在 Microsoft Entra ID 管理后台禁用 OAuth 设备码授权流程 Python 日志检测代码:import requestsimport json# 读取Microsoft Entra ID审计日志def check_device_code_abuse(): log_url 5.3 兼容性与适用性分析本文方案兼容 Microsoft 365、Azure AD、Entra ID 等主流身份平台,支持 PowerShell、Microsoft Graph 自动化部署,无需改造现有业务系统
12610编辑于 2026-05-19 - 来自专栏Windows技术交流
微软登录相关的Authenticator MFA还想再绑另一个手机,找不到在哪里绑
https://entra.microsoft.com登录绑定的 Microsoft Authenticator MFA还想再绑另一个手机,找不到在哪里绑要给同一个账号再绑定一台手机(第二个 Microsoft
13710编辑于 2026-05-14 - 来自专栏王磊的博客
SpringAI更新:废弃tools方法、正式支持DeepSeek!
向量数据库存储功能增强: Cosmos DB Entra ID 支持和修复: 为 Cosmos DB 添加了 Azure Entra ID(以前称为 Azure AD)身份验证; 改进 Azure 部署的安全性和身份验证选项
96910编辑于 2025-05-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号