Наша команда создала чат-бота на платформе ботов Майкрософт (Nodejs), и чат-бот развертывается в командах через свой манифест администратором клиента организации.
У меня было несколько вопросов по ценным бумагам (вопросы касаются только командных ботов)
1) Насколько легко злоумышленнику будет эмулировать конечную точку командного канала? (Бот использует 3 уровня проверки в обработчике активности OnMessage. (Api графика и некоторые другие специфические для организации)). Но проблема в том, что мы используем вызов API-интерфейса teaminfo.getmembers (контекст) для получения идентификатора электронной почты пользователя от команд к пройти эти проверки.
2) Уязвимы ли teaminfo.getmembers (context)? Может ли злоумышленник предоставить дубликат точного контекста поворота любого существующего аутентичного пользователя?