在azure中使用具有危险委派权限的应用程序有哪些风险?
问题描述 投票:0回答:1
除了引诱特权用户连接应用程序并使用其权限之外,使用具有危险委派权限的应用程序还有哪些风险?
低权限用户(攻击者)是否可以使用任何已知的危险委托权限?
1个回答
0
投票
投票
注意:普通用户将无权对租户执行操作。
普通用户无法创建资源、无法访问所有用户的邮件、无法更新用户配置文件、无法访问用户的 OneDrive 文件、无法代表用户发送邮件、对 Azure AD 执行操作、读写数据、管理资源,但如果应用程序具有委派权限,则用户将能够执行此操作。
例如,普通用户将无权更新用户配置文件。
但是,如果应用程序具有
User.ReadWrite.All
用户将能够更新其他用户配置文件:
PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json
{
"businessPhones": [
"xxx"
],
"officeLocation": "xxx"
}
最新问题
- 如何删除内存优化表上的级联?
- 为什么 Rxjs switchMap 只输出 of() 源 observable 的最后一个值?
- 遇到数组值参数绑定,但期望 [java.lang.String (n/a)]
- 如何在 Visual Studio 代码中调试打字稿 create-react-app
- 在极坐标中应用np.expm1
- Router.use 在 Iron Router 1.0 中已弃用?
- Dynamics CRM 插件:沙箱模式下使用证书调用Web API
- Apache Ranger 中基于标签的策略不起作用
- php(模糊)搜索匹配
- Android BLE 按名称连接到设备
- 如何在WPF应用程序中实现气球消息
- 为什么 gdb 抱怨我的核心文件太小,然后无法生成有意义的堆栈跟踪?
- 没有System32如何解决“java.lang.UnsatisfiedLinkError:找不到依赖库”?
- 当各种可选元素有效时,如何选择第一个元素?
- 如果元素尚不存在,则将其添加到数组中
- 如何在下一个js应用程序路由器中实现mui风格的组件而不使用“使用客户端”
- Ninjatrader:想要在指标中使用箭头键,但父控件(图表)可以控制它们
- Primeng 日历,标记了所选日期
- 错误:%SYSFUNC 或 %QSYSFUNC 宏函数引用的函数 TRANWRD 有太多参数
- 各组之间的差异
© www.soinside.com 2019 - 2024. All rights reserved.