【问题标题】:Questions on Security of bots on teams关于团队机器人安全性的问题
【发布时间】:2020-07-30 05:26:58
【问题描述】:

我们的团队使用 microsoft bot 框架(Nodejs)创建了一个聊天机器人。该聊天机器人由组织的租户管理员通过其清单部署在团队中。

我有几个关于证券的问题-(问题只与团队机器人有关)

1) 恶意用户模拟团队通道端点有多容易? (机器人在 OnMessage 活动处理程序中使用 3 层验证。(Graph Api 和其他一些组织特定的) 但问题是我们正在使用 teamsinfo.getmembers(context) API 调用从团队获取用户的电子邮件 ID 以通过这些验证。

2) teamsinfo.getmembers(context) 是否存在漏洞?任何恶意用户能否提供任何现有真实用户的重复确切转弯上下文?

【问题讨论】:

    标签: node.js security botframework microsoft-teams exploit


    【解决方案1】:

    这是一个有趣的问题,我相信提供恶意的 turnContext 对任何攻击者来说都不容易。该请求以加密格式发送到机器人框架服务,这些服务具有不同级别的安全性。如果您有一个出站防火墙阻止从您的机器人到 Internet 的流量,您可以按照标准whitelist URL。您还可以在 Bot 中实施身份验证,以增加一层安全性。 你可以在security guidelines 上查看机器人。

    【讨论】:

    • 这个答案涵盖了很多,所以我只是“追加”而不是添加一个新的,但我有一篇博文,你可能会发现它有助于理解一些“在机器人的引擎盖”,hilton.giesenow.com/how-bot-calls-actually-work
    • 太棒了@HiltonGiesenow 这对理解Bot的基本流程很有帮助
    • 很棒的@HiltonGiesenow,很棒的博客,正如你所说的微软文档虽然它真的很好,但它有点难以掌握,尤其是对于初学者来说。你可能想在对话流上添加博客和会话存储。也许像添加带有自定义中间件的成绩单之类的事情。你也碰巧对 OAuth2.0 有更简单的解释吗,微软的文档让我很困惑。
    • @Trinetra-MSFT Bot 托管在 Azure 服务上,在应用服务中有 CORS 策略,你是说在那里阻止它吗?(出站防火墙阻止到 bot 的流量)。目前我们的机器人没有在 Bot 框架 Channel 中注册。还没有为团队启用 OAuth 2.0。目前,我们必须有 2 个公开的 API 密钥 Directline 和 Teams 一个。
    • 很高兴听到它很有用,并感谢您提供出色的主题建议,将研究这些
    猜你喜欢
    • 2019-06-23
    • 1970-01-01
    • 1970-01-01
    • 2023-02-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-20
    相关资源
    最近更新 更多