亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

微軟帳戶身份驗(yàn)證漏洞讓研究人員獲得$13000獎金

在安全研究員杰克·惠頓幫助下,微軟已經(jīng)修復(fù)了在其主認(rèn)證系統(tǒng)當(dāng)中存在的CSRF(跨站請求偽造)漏洞。微軟Azure,Outlook和Office均使用這種認(rèn)證系統(tǒng)。該漏洞允許攻擊者竊取受害者的身份驗(yàn)證令牌,然后使用它來登錄到受害者帳戶。

杰克·惠頓在博客當(dāng)中描述了漏洞工作原理,他表示這個問題出在微軟自己研發(fā)的認(rèn)證系統(tǒng),其功能類似OAuth協(xié)議。當(dāng)用戶通過Azure,Outlook或Office經(jīng)典的登錄頁面登錄,攻擊者使用URL重定向,添加了一個參數(shù),讓微軟的登錄服務(wù)驗(yàn)證用戶,然后重定向回到攻擊者定義的網(wǎng)址,以盜竊用戶的身份標(biāo)志認(rèn)證令牌,然后使用這個令牌出重新登錄到微軟認(rèn)證系統(tǒng),進(jìn)而訪問用戶帳戶。

杰克·惠頓在今年1月向微軟報告了這一問題,微軟向其獎勵$ 13,000。微軟去年向Wesley Wineberg支付了類似金額的獎勵,因?yàn)閃esley Wineberg發(fā)現(xiàn)了微軟OAuth登錄系統(tǒng)的一個缺陷。這次獲獎的杰克·惠頓是一個著名的安全研究人員,是Facebook錯誤賞金計(jì)劃收入最高的安全研究人員之一。

csrf

上一篇:Rightscorp:研發(fā)新技術(shù)逼迫盜版用戶支付罰款

下一篇:匿名者入侵肯尼亞石油公司網(wǎng)站