微软宣布,其仅花 48 小时即修复了一个让攻击者可获取用户登录令牌的身份验证缺陷。据英国安全专家 Jack Whitton 称:该漏洞旨在通过钓鱼网站「收割」用户的登录令牌,以实现对用户账户和数据的访问。
在本周一的一篇博客文章中,研究者说明了可操纵 POST 值模拟真实用户对微软产品实施访问。
微软运营了大量在线服务,用户在访问这些服务(诸如 Outlook.com 邮箱和 Azure 服务)时,都需要在登录过程的 POST 请求中发送完整的登录令牌「wreply」值,令牌将在登录过程中被使用和消耗。而 Cookies 并未独立于微软各项服务的域名,因此只需一个令牌,攻击者便可伪装成正常用户进行跨站攻击。
研究人员发现,通过调整 URL 编码参数和解析 URL,便可以绕过为防止身份验证错误而设立的不同过滤器。Whitton 于 3 月 24 日提交了该安全漏洞,微软在当日便进行了确认,并于 26 日即对该漏洞所影响的所有云服务进行了修复。
最新评论
尝试了一下,居然被你发现了🥹
咦!这个月的视频居然翻译了,站长越来越勤劳了啊!
应该是通过 VMware 更新服务器偷鸡成功🤭
感谢!可以下载,使用多线程下载可以下的更快