服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - IT/互联网 - 微软登录系统bug或致用户账号被劫持 目前已修复

微软登录系统bug或致用户账号被劫持 目前已修复

2019-12-03 22:39站长之家 IT/互联网

据techcrunch报道,微软已经修复了其登录系统中的一个漏洞,安全研究人员称该漏洞允许攻击者悄悄地窃取帐户令牌(token)。 很多网站和应用程序通过使用令牌让用户访问自己的帐户,而无需不断地重新输入密码。具体来说,用户登

据techcrunch报道,微软已经修复了其登录系统中的一个漏洞,安全研究人员称该漏洞允许攻击者悄悄地窃取帐户令牌(token)。

很多网站和应用程序通过使用令牌让用户访问自己的帐户,而无需不断地重新输入密码。具体来说,用户登录后,这些令牌由应用程序或网站创建,而不是用户名和密码。这使用户能够持续登录网站,同时也允许用户访问第三方应用程序和网站,而不必直接提交他们的密码。

微软登录系统bug或致用户账号被劫持 目前已修复

以色列网络安全公司CyberArk的研究人员发现,微软出现了一个意外漏洞,这个漏洞可能会被攻击者用来盗取这些用于访问受害者账户的账户令牌,并且可能永远不会提醒用户。

CyberArk称其发现几十个未注册的子域连接到了微软开发的一些应用程序,这些内部应用程序可信度极高,因此相关的子域可以用来自动生成访问令牌,而不需要经过用户任何明确同意。通过这些子域,攻击者只需欺骗毫无戒心的受害者点击电子邮件或网站特定的链接,就可以盗取令牌。

据悉,该安全漏洞已于 10 月下旬报告给微软。微软发言人表示:“我们在 11 月解决了该报告中提到的应用程序问题,用户仍然受到保护。”

延伸 · 阅读

精彩推荐