detecting-suspicious-oauth-application-consent

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。

9 stars

Best use case

detecting-suspicious-oauth-application-consent is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。

Teams using detecting-suspicious-oauth-application-consent should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-suspicious-oauth-application-consent/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-suspicious-oauth-application-consent/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-suspicious-oauth-application-consent/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-suspicious-oauth-application-consent Compares

Feature / Agentdetecting-suspicious-oauth-application-consentStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测可疑的 OAuth 应用授权同意

## 概述

非法同意授权攻击(Illicit Consent Grant Attack)诱骗用户在 Azure AD / Microsoft Entra ID 中向恶意 OAuth 应用程序授予过多权限。本 skill 使用 Microsoft Graph API 枚举 OAuth2 权限授权,分析应用程序权限是否范围过于宽泛,审查授权同意事件的目录审计日志,并根据发布者验证状态和权限范围标记高风险应用程序。

## 前置条件

- 具有全局读者或安全读者角色的 Azure AD / Entra ID 租户
- 具有 `Application.Read.All`、`AuditLog.Read.All`、`Directory.Read.All` 权限的 Microsoft Graph API 访问
- Python 3.9+,安装 `msal`、`requests`
- 配置了客户端密钥或证书以进行身份验证的应用注册

## 工作流程

1. 使用 MSAL 客户端凭据流向 Microsoft Graph 进行身份验证
2. 通过 `/oauth2PermissionGrants` 枚举所有 OAuth2 权限授权
3. 列出服务主体及其分配的应用程序权限
4. 查询 `Consent to application` 事件的目录审计日志
5. 标记具有高风险权限范围的应用程序(Mail.Read、Files.ReadWrite.All 等)
6. 检查每个应用程序的发布者验证状态
7. 生成包含修复建议的风险报告

## 输出格式

- JSON 报告,列出所有 OAuth 应用程序及其授予的权限、风险评分、未验证发布者和可疑授权同意模式
- 包含用户和 IP 详情的授权同意事件审计跟踪

Related Skills

testing-oauth2-implementation-flaws

9
from killvxk/cybersecurity-skills-zh

测试 OAuth 2.0 和 OpenID Connect 实现中的安全缺陷,包括授权码拦截、重定向 URI 操控、OAuth 流程中的 CSRF、令牌泄露、权限范围(scope)提升以及 PKCE 绕过。测试人员对授权服务器、客户端应用及令牌处理进行评估,发现可导致账户接管或未授权访问的常见错误配置。适用于 OAuth 安全测试、OIDC 漏洞评估、OAuth2 重定向绕过或授权码流程测试相关请求。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-thick-client-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

使用 dnSpy、Procmon 和 Burp Suite 对桌面应用程序执行厚客户端(胖客户端)渗透测试,识别不安全的本地存储、硬编码凭据、DLL 劫持、内存操控和不安全的 API 通信等漏洞。

performing-oauth-scope-minimization-review

9
from killvxk/cybersecurity-skills-zh

执行 OAuth 2.0 权限范围最小化审查,识别过度授权的第三方应用集成、 过多的 API 范围、未使用的令牌授权以及跨身份提供商和 SaaS 平台的 高风险 OAuth 同意模式。 适用于 OAuth 范围审计、API 权限审查、第三方应用风险评估或同意授权最小化的请求。

performing-cryptographic-audit-of-application

9
from killvxk/cybersecurity-skills-zh

密码学审计(Cryptographic Audit)系统性地审查应用程序对密码学原语、协议和密钥管理的使用,以识别弱算法、不安全模式、硬编码密钥、熵不足和协议配置错误等漏洞。本技能涵盖构建自动化密码学审计工具,扫描 Python 和配置文件中的常见密码学弱点。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-web-application-logging-with-modsecurity

9
from killvxk/cybersecurity-skills-zh

配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。

implementing-runtime-application-self-protection

9
from killvxk/cybersecurity-skills-zh

部署运行时应用自我保护(RASP,Runtime Application Self-Protection)代理,从应用运行时内部检测并阻断攻击,涵盖 OpenRASP 集成、攻击模式检测,以及 Java 和 Python Web 应用的安全策略配置。

implementing-mobile-application-management

9
from killvxk/cybersecurity-skills-zh

实施移动应用管理(MAM)策略,通过应用级控制(包括数据防泄漏、选择性擦除、应用配置和容器化) 在托管和非托管移动设备上保护企业数据。适用于保护 BYOD 设备上的企业应用、实施 Intune 应用保护策略,或强制执行个人与工作应用之间的数据隔离。针对 MAM 部署、应用保护策略、 移动容器化或 BYOD 安全请求激活。