node.js - 关于团队机器人安全性的问题
问题描述
我们的团队使用 microsoft bot 框架(Nodejs)创建了一个聊天机器人,并且该聊天机器人由组织的租户管理员通过其清单部署在团队中。
我有几个关于证券的问题——(问题只与团队机器人有关)
1) 恶意用户模拟团队通道端点有多容易?(机器人在 OnMessage 活动处理程序中使用 3 层验证。(Graph Api 和其他一些组织特定的)但问题是我们正在使用 teamsinfo.getmembers(context) API 调用从团队获取用户的电子邮件 ID通过这些验证。
2)teaminfo.getmembers(context) 是否易受攻击?任何恶意用户能否提供任何现有真实用户的重复准确转弯上下文?
解决方案
推荐阅读
- amazon-cloudformation - 添加多个 SecurityGroupIngress 规则
- python-3.7 - AttributeError:模块“numpy”没有属性“byte”
- javascript - 循环时如何忽略特定值
- mysql - 使用“加载数据文件”代码时动作输出中的感叹号
- ionic-framework - 打开文本字段的数字小键盘
- python - 转化为列表理解
- javascript - Angular7:延迟加载不创建块
- google-sheets - 我需要自动打印当前月份的日期
- reactjs - 根据所选值反应重新渲染表单选项
- pthreads - asyncio 代码可以安全地调用使用 pthread 的本机库吗?