记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微软最新账户身份验证漏洞分析

英国安全顾问Jack Whitton在微软的身份验证系统中发现了一个重要漏洞,攻击者可访问用户的Outlook、Azure和Office账户,为此微软支付了1.3万美元奖金。该漏洞与Wesley Wineberg发现的“OAuth CSRF in Live.com”漏洞类似,唯一的不同在于该漏洞影响的是微软的主身份验证系统,而不是OAuth保护机制。微软在多个域(*.outlook.com, 、*.live.com等)中提供不同的服务,并且通过向login.live.com、login.microsoftonline.com和login.windows.net发送请求来解决跨服务的身份验证,为用户建立会话。outlook.office.com的流程如下:1、用户浏览https://outl
发布时间:2016-04-07 19:45 | 阅读:145537 | 评论:0 | 标签:漏洞 微软 身份验证系统

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云