微软帐户身份验证漏洞让研究人员获得$13000奖金

微软帐户身份验证漏洞让研究人员获得$13000奖金

黑客专题访客2021-10-11 22:03:0010664A+A-

在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure,Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令牌,然后使用它来登录到受害者帐户。

杰克·惠顿在博客当中描述了漏洞工作原理,他表示这个问题出在微软自己研发的认证系统,其功能类似OAuth协议。当用户通过Azure,Outlook或Office经典的登录页面登录,攻击者使用URL重定向,添加了一个参数,让微软的登录服务验证用户,然后重定向回到攻击者定义的网址,以盗窃用户的身份标志认证令牌,然后使用这个令牌出重新登录到微软认证系统,进而访问用户帐户。

杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Facebook错误赏金计划收入最高的安全研究人员之一。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 南殷雨安2022-05-30 17:58:39
  • 进而访问用户帐户。杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微
  • 森槿勒言2022-05-30 16:44:25
  • 在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure,Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令
  • 假欢酷腻2022-05-30 21:52:56
  • 一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Facebook错误赏金计划收入最高的安全研究人员之一。
  • 辞眸婉绾2022-05-30 18:25:19
  • ,进而访问用户帐户。杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Faceboo

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理