SPAはSingle-Page Abuseの略です！– Azureを列挙するためにシングルページアプリケーショントークンを使用する

マイクロソフトのAzureは、さまざまな組織にテクノロジー ソリューションを提供する主要なクラウド プロバイダーです。シングル ページ アプリケーション (SPA) は、Web サーバーから新しいデータを使用して現在の Web ページを動的に書き換えることで Web アプリケーションを作成する一般的な方法です。Azure ポータルは、Azure Graph API と通信する Web アプリケーション フロントエンドです。特定のクライアントを対象に、権限の昇格、検出の改善、攻撃経路の文書化に焦点を当てた Azure テナントのセキュリティ評価が実施されました。チームは、1 時間の有効期限制限がアクセス トークンに設定されていることに気付きました。これにより、ネットワーク トラフィックでリフレッシュ トークンが発見されました。リフレッシュ トークンとオリジン URL を使用して、チームは ROADTools に正常に認証し、クライアント テナントを列挙しました。ワークフローには、トークンを含むネットワーク トラフィックの検査、Microsoft Graph API への認証、コレクションの実行、情報の確認が含まれます。このプロセスは、Azure ポータルや Microsoft Online Office アプリケーションを含むさまざまな SPA に適用できます。