【发布时间】:2020-07-30 05:26:58
【问题描述】:
我们的团队使用 microsoft bot 框架(Nodejs)创建了一个聊天机器人。该聊天机器人由组织的租户管理员通过其清单部署在团队中。
我有几个关于证券的问题-(问题只与团队机器人有关)
1) 恶意用户模拟团队通道端点有多容易? (机器人在 OnMessage 活动处理程序中使用 3 层验证。(Graph Api 和其他一些组织特定的) 但问题是我们正在使用 teamsinfo.getmembers(context) API 调用从团队获取用户的电子邮件 ID 以通过这些验证。
2) teamsinfo.getmembers(context) 是否存在漏洞?任何恶意用户能否提供任何现有真实用户的重复确切转弯上下文?
【问题讨论】:
标签: node.js security botframework microsoft-teams exploit