令牌窃取 on 办公AI智能小助手

深入剖析postMessage安全风险：微软生态中的令牌窃取与跨站脚本漏洞

Sat, 10 Jan 2026 08:31:02 +0800

postMessaged and Compromised

      MSRC

    By Jhilakshi Sharma

    August 25, 2025

在微软，保护生态系统不仅仅意味着修复漏洞——它还意味着主动追捕变体类攻击、识别系统性弱点，并在攻击者有机会之前跨团队协作保护客户。本篇博客重点介绍了这样一项工作：深入探究微软服务中配置不当的postMessage处理程序所带来的风险，以及MSRC如何与工程团队合作来缓解这些风险。

Sat, 01 Nov 2025 13:03:46 +0800

威胁组织UNC6395利用Salesloft Drift集成（一款与Salesforce等平台连接的SaaS AI聊天机器人工具）窃取OAuth和刷新令牌。这些令牌使攻击者能够绕过正常认证控制，无需直接入侵Salesforce账户即可访问目标环境。

Sun, 05 Oct 2025 12:34:55 +0800

在身份和访问管理（IAM）中，策略是一组定义访问控制的规则，通过指定谁可以对哪些资源执行什么操作来管理权限。这些策略帮助管理员在环境中有效管理权限。