轻源码

  • QingYuanMa.com
  • 全球最大的互联网技术和资源下载平台
搜索
轻源码 门户 IT时讯 查看主题

微软登录系统bug或致用户账号被劫持 目前已修复

发布者: 云文章 | 发布时间: 2021-4-25 10:30| 查看数: 6167| 评论数: 0|帖子模式

据techcrunch报道,微软已经修复了其登录系统中的一个漏洞,安全研究人员称该漏洞允许攻击者悄悄地窃取帐户令牌(token)。

很多网站和应用程序通过使用令牌让用户访问自己的帐户,而无需不断地重新输入密码。具体来说,用户登录后,这些令牌由应用程序或网站创建,而不是用户名和密码。这使用户能够持续登录网站,同时也允许用户访问第三方应用程序和网站,而不必直接提交他们的密码。

以色列网络安全公司CyberArk的研究人员发现,微软出现了一个意外漏洞,这个漏洞可能会被攻击者用来盗取这些用于访问受害者账户的账户令牌,并且可能永远不会提醒用户。

CyberArk称其发现几十个未注册的子域连接到了微软开发的一些应用程序,这些内部应用程序可信度极高,因此相关的子域可以用来自动生成访问令牌,而不需要经过用户任何明确同意。通过这些子域,攻击者只需欺骗毫无戒心的受害者点击电子邮件或网站特定的链接,就可以盗取令牌。

据悉,该安全漏洞已于 10 月下旬报告给微软。微软发言人表示:“我们在 11 月解决了该报告中提到的应用程序问题,用户仍然受到保护。”

最新评论

轻源码让程序更轻更快

QingYuanMa.com

工作时间 周一至周六 8:00-17:30

客服QQ点击咨询

关注抖音号

定期抽VIP

Copyright © 2016-2021 https://www.qingyuanma.com/ 鲁ICP备17014494号

快速回复 返回顶部 返回列表