微軟帳戶身份驗證漏洞讓研究人員獲得$13000獎金
責編:mhshi |2016-04-05 10:26:41在安全研究員杰克·惠頓幫助下,微軟已經修復了在其主認證系統當中存在的CSRF(跨站請求偽造)漏洞。微軟Azure,Outlook和Office均使用這種認證系統。該漏洞允許攻擊者竊取受害者的身份驗證令牌,然后使用它來登錄到受害者帳戶。
杰克·惠頓在博客當中描述了漏洞工作原理,他表示這個問題出在微軟自己研發的認證系統,其功能類似OAuth協議。當用戶通過Azure,Outlook或Office經典的登錄頁面登錄,攻擊者使用URL重定向,添加了一個參數,讓微軟的登錄服務驗證用戶,然后重定向回到攻擊者定義的網址,以盜竊用戶的身份標志認證令牌,然后使用這個令牌出重新登錄到微軟認證系統,進而訪問用戶帳戶。
杰克·惠頓在今年1月向微軟報告了這一問題,微軟向其獎勵$ 13,000。微軟去年向Wesley Wineberg支付了類似金額的獎勵,因為Wesley Wineberg發現了微軟OAuth登錄系統的一個缺陷。這次獲獎的杰克·惠頓是一個著名的安全研究人員,是Facebook錯誤賞金計劃收入最高的安全研究人員之一。
