微軟釋出混亂工程工具Microsoft 365 Developer Proxy最新0.9預覽版,Developer Proxy是一個命令列工具,可用來測試Microsoft Graph、SharePoint Online以及其他HTTP API的行為,在最新的預覽版本中,Developer Proxy讓用戶能夠檢測使用Microsoft Graph API建置應用程式,所存在的過度授權問題。
Microsoft Graph是微軟所提供的統一RESTful API,供開發者使用單一API呼叫存取不同微軟雲端服務的資料和功能,包括Microsoft 365、Windows,以及企業行動與安全性服務。開發者透過Microsoft Graph這個資料入口,跨平臺存取資料,建立可加速企業工作流程的應用。
Microsoft Graph API讓開發者可以存取並且操作Microsoft 365中的大量資料,其使用OAuth 2.0授權架構,限制敏感資料只有具有適當權限的應用程式和用戶能夠操作,但是開發者在使用Microsoft Graph API的過程,常會出現過度授權的問題。
當應用程式獲得權限過多,該應用程式被攻擊或是濫用時,就可能造成大量資料洩漏,開發者在設計應用程式時,需要儘量使用最小的權限,而Developer Proxy則可以協助開發者達成這個目的,在之前的版本,Developer Proxy已經可以自動偵測應用程式呼叫API所需的最低權限,而在Developer Proxy 0.9版本中,官方針對最小權限相關控制,進一步添加能夠發現應用程式擁有過度權限的套件。
這個新的最小權限套件會捕捉應用程式所發出的一系列Microsoft Graph API請求,並且與存取權杖的角色或是範圍相比較,當權杖所擁有的權限,超過應用程式API請求所需的最小權限時,便會向用戶發出警示。官方提到,這些權限比較工作會在本地端運作,因此用戶的權杖不會被上傳到外部API。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22