微軟帳戶身份驗(yàn)證漏洞讓研究人員獲得$13,000獎(jiǎng)金

責(zé)任編輯:jackye

2016-04-05 09:04:21

摘自:cnbeta網(wǎng)站

摘要:在安全研究員杰克·惠頓幫助下,微軟已經(jīng)修復(fù)了在其主認(rèn)證系統(tǒng)當(dāng)中存在的CSRF(跨站請(qǐng)求偽造)漏洞。該漏洞允許攻擊者竊取受害者的身份驗(yàn)證令牌,然后使用它來(lái)登錄到受害者帳戶。

摘要:在安全研究員杰克·惠頓幫助下,微軟已經(jīng)修復(fù)了在其主認(rèn)證系統(tǒng)當(dāng)中存在的CSRF(跨站請(qǐng)求偽造)漏洞。微軟Azure,Outlook和Office均使用這種認(rèn)證系統(tǒng)。該漏洞允許攻擊者竊取受害者的身份驗(yàn)證令牌,然后使用它來(lái)登錄到受害者帳戶。

杰克·惠頓在博客當(dāng)中描述了漏洞工作原理,他表示這個(gè)問(wèn)題出在微軟自己研發(fā)的認(rèn)證系統(tǒng),其功能類似OAuth協(xié)議。當(dāng)用戶通過(guò)Azure,Outlook或Office經(jīng)典的登錄頁(yè)面登錄,攻擊者使用URL重定向,添加了一個(gè)參數(shù),讓微軟的登錄服務(wù)驗(yàn)證用戶,然后重定向回到攻擊者定義的網(wǎng)址,以盜竊用戶的身份標(biāo)志認(rèn)證令牌,然后使用這個(gè)令牌出重新登錄到微軟認(rèn)證系統(tǒng),進(jìn)而訪問(wèn)用戶帳戶。

杰克·惠頓在今年1月向微軟報(bào)告了這一問(wèn)題,微軟向其獎(jiǎng)勵(lì)$ 13,000。微軟去年向Wesley Wineberg支付了類似金額的獎(jiǎng)勵(lì),因?yàn)閃esley Wineberg發(fā)現(xiàn)了微軟OAuth登錄系統(tǒng)的一個(gè)缺陷。這次獲獎(jiǎng)的杰克·惠頓是一個(gè)著名的安全研究人員,是Facebook錯(cuò)誤賞金計(jì)劃收入最高的安全研究人員之一。

微軟帳戶身份驗(yàn)證漏洞讓研究人員獲得$13,000獎(jiǎng)金

 

微軟帳戶身份驗(yàn)證漏洞讓研究人員獲得$13,000獎(jiǎng)金

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)