微软因发现身份验证漏洞向黑客支付13000美元
相关标签: # 服务器# 漏洞# 研究# 服务器# 支付
该漏洞已被英国安全顾问发现杰克·惠顿与微软的OAuth CSRF(跨站点请求伪造)类似。Synack安全研究员发现的com韦斯利·温伯格。
然而,这些漏洞之间主要且唯一的区别在于:Wineberg发现的漏洞影响了微软的OAuth保护机制,而Whitton发现的漏洞影响了微软的主认证系统。
微软通过向用户发出请求,处理Outlook、Azure和Office等在线服务的身份验证登录。活着。com,登录。窗户。&David.McBride;&David.McBride.mail;和登录。微软在线。通用域名格式。
现在,例如,如果用户浏览outlook。办公室com,他/她重定向到登录。微软在线。包含可怜的'参数,用于指定用户要访问的域。
漏洞是如何工作的?
如果特定用户已登录,则会向Wrepy中指定的域发出POST请求,请求值包含该用户的登录令牌。用户想要对其进行身份验证的服务使用该令牌并让用户登录。
惠顿表示,微软提供的认证URL容易受到攻击跨站点请求伪造(CSRF)攻击。
CSRF攻击可允许攻击者创建恶意URL,当已通过身份验证的用户访问该URL时,会将登录令牌发送到攻击者控制的服务器。
现在,在令牌的帮助下,攻击者可以完全访问受害者的帐户。
惠顿在他的博客文章中指出:“该令牌仅对发布它的服务有效–;例如,Outlook令牌不能用于Azure。”。“但创建多个隐藏iFrame,每个iFrame的登录URL设置为不同的服务,并以这种方式获取令牌,这将非常简单。”
好消息是,在惠顿于1月24日向微软报告该漏洞后两天内,微软修补了该漏洞。该公司还向研究人员支付了1.3万美元,作为其臭虫奖励计划的一部分。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
