黑基网 首页 资讯 IT业界 查看内容

微软于48小时内修复严重在线账户劫持漏洞

2016-4-6 13:46| 投稿: son850318

摘要: 微软宣布,其仅花 48 小时即修复了一个让攻击者可获取用户登录令牌的身份验证缺陷。据英国安全专家 Jack Whitton 称:该漏洞旨在通过钓鱼网站「收割」用户的登录令牌,以实现对用户账户和数据的访问。在本周一的一篇 ...

微软宣布,其仅花 48 小时即修复了一个让攻击者可获取用户登录令牌的身份验证缺陷。据英国安全专家 Jack Whitton 称:该漏洞旨在通过钓鱼网站「收割」用户的登录令牌,以实现对用户账户和数据的访问。

在本周一的一篇博客文章中,研究者说明了可操纵 POST 值模拟真实用户对微软产品实施访问。

微软运营了大量在线服务,用户在访问这些服务(诸如 Outlook.com 邮箱和 Azure  服务)时,都需要在登录过程的 POST 请求中发送完整的登录令牌「wreply」值,令牌将在登录过程中被使用和消耗。而 Cookies 并未独立于微软各项服务的域名,因此只需一个令牌,攻击者便可伪装成正常用户进行跨站攻击。

研究人员发现,通过调整 URL 编码参数和解析 URL,便可以绕过为防止身份验证错误而设立的不同过滤器。Whitton 于 3 月 24 日提交了该安全漏洞,微软在当日便进行了确认,并于 26 日即对该漏洞所影响的所有云服务进行了修复。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部