7.R11.1 邀請流程濫用
7.R11.1 邀請流程濫用
邀請流程的核心風險是把身份建立權限暴露在高頻操作節點。當邀請邊界與角色邊界沒有同步收斂,流程會從協作入口轉成擴散入口。
為什麼會出問題
邀請流程通常追求低摩擦啟用。低摩擦設計若缺少角色上限與上下文驗證,攻擊者可利用合法邀請節奏建立後續操作落點。
常見失效樣式
- 邀請可直接綁定高權限角色。
- 邀請連結可重放或長時間有效。
- 邀請發送與審核責任由同一主體完成。
判讀訊號
- 同一主體短時間建立大量邀請。
- 新邀請帳號快速接觸高風險操作。
- 邀請接受行為與正常地理/裝置分佈偏移。
案例觸發參考
可連動章節
對應失效樣式卡
演練 / 控制落地
把本失效樣式轉成 release gate / tabletop 欄位的 blue-team control-pattern: