微软帐户身份验证漏洞让研究人员获得$13000奖金
在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure,Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令牌,然后使用它来登录到受害者帐户。
杰克·惠顿在博客当中描述了漏洞工作原理,他表示这个问题出在微软自己研发的认证系统,其功能类似OAuth协议。当用户通过Azure,Outlook或Office经典的登录页面登录,攻击者使用URL重定向,添加了一个参数,让微软的登录服务验证用户,然后重定向回到攻击者定义的网址,以盗窃用户的身份标志认证令牌,然后使用这个令牌出重新登录到微软认证系统,进而访问用户帐户。
杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Facebook错误赏金计划收入最高的安全研究人员之一。
相关文章
- 4条评论
南殷雨安2022-05-30 17:58:39- 进而访问用户帐户。杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微
森槿勒言2022-05-30 16:44:25- 在安全研究员杰克·惠顿帮助下,微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure,Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令
假欢酷腻2022-05-30 21:52:56- 一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Facebook错误赏金计划收入最高的安全研究人员之一。
辞眸婉绾2022-05-30 18:25:19- ,进而访问用户帐户。杰克·惠顿在今年1月向微软报告了这一问题,微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励,因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员,是Faceboo
滇ICP备19002590号-1