在azure中使用具有危险委派权限的应用程序有哪些风险?

问题描述 投票:0回答:1

除了引诱特权用户连接应用程序并使用其权限之外,使用具有危险委派权限的应用程序还有哪些风险?

低权限用户(攻击者)是否可以使用任何已知的危险委托权限?

azure-active-directory permissions privileges delegation phishing
1个回答
0
投票

注意:普通用户将无权对租户执行操作。

普通用户无法创建资源、无法访问所有用户的邮件、无法更新用户配置文件、无法访问用户的 OneDrive 文件、无法代表用户发送邮件、对 Azure AD 执行操作、读写数据、管理资源,但如果应用程序具有委派权限,则用户将能够执行此操作。

例如,普通用户将无权更新用户配置文件。

但是,如果应用程序具有

User.ReadWrite.All
API 权限,并且用户通过应用程序进行身份验证,则用户将能够成功更新用户配置文件。

enter image description here

用户将能够更新其他用户配置文件:

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "businessPhones": [
    "xxx"
  ],
  "officeLocation": "xxx"
}

enter image description here

© www.soinside.com 2019 - 2024. All rights reserved.