时间戳

首页 > 解决方案 > 关于团队机器人安全性的问题

node.js - 关于团队机器人安全性的问题

问题描述

我们的团队使用 microsoft bot 框架(Nodejs)创建了一个聊天机器人,并且该聊天机器人由组织的租户管理员通过其清单部署在团队中。

我有几个关于证券的问题——(问题只与团队机器人有关)

1) 恶意用户模拟团队通道端点有多容易?(机器人在 OnMessage 活动处理程序中使用 3 层验证。(Graph Api 和其他一些组织特定的)但问题是我们正在使用 teamsinfo.getmembers(context) API 调用从团队获取用户的电子邮件 ID通过这些验证。

2)teaminfo.getmembers(context) 是否易受攻击?任何恶意用户能否提供任何现有真实用户的重复准确转弯上下文?

标签: node.jssecuritybotframeworkmicrosoft-teamsexploit

解决方案

这是一个有趣的问题,我相信提供恶意的 turnContext 对任何攻击者来说都不容易。该请求以加密格式发送到机器人框架服务,这些服务具有不同级别的安全性。如果您有一个出站防火墙阻止从您的机器人到 Internet 的流量,您可以按照标准将该 URL列入白名单。您还可以在 Bot 中实施身份验证,以增加一层安全性。您可以查看机器人的安全指南

推荐阅读