服务器之家

服务器之家 > 正文

微软登录系统bug或致用户账号被劫持 目前已修复

时间:2019-12-03 22:39     来源/作者:站长之家

据techcrunch报道,微软已经修复了其登录系统中的一个漏洞,安全研究人员称该漏洞允许攻击者悄悄地窃取帐户令牌(token)。

很多网站和应用程序通过使用令牌让用户访问自己的帐户,而无需不断地重新输入密码。具体来说,用户登录后,这些令牌由应用程序或网站创建,而不是用户名和密码。这使用户能够持续登录网站,同时也允许用户访问第三方应用程序和网站,而不必直接提交他们的密码。

微软登录系统bug或致用户账号被劫持 目前已修复

以色列网络安全公司CyberArk的研究人员发现,微软出现了一个意外漏洞,这个漏洞可能会被攻击者用来盗取这些用于访问受害者账户的账户令牌,并且可能永远不会提醒用户。

CyberArk称其发现几十个未注册的子域连接到了微软开发的一些应用程序,这些内部应用程序可信度极高,因此相关的子域可以用来自动生成访问令牌,而不需要经过用户任何明确同意。通过这些子域,攻击者只需欺骗毫无戒心的受害者点击电子邮件或网站特定的链接,就可以盗取令牌。

据悉,该安全漏洞已于 10 月下旬报告给微软。微软发言人表示:“我们在 11 月解决了该报告中提到的应用程序问题,用户仍然受到保护。”

相关文章

热门资讯

玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分
玄元剑仙肉身有什么用 玄元剑仙肉身境界等级划分 2019-06-21
男生常说24816是什么意思?女生说13579是什么意思?
男生常说24816是什么意思?女生说13579是什么意思? 2019-09-17
配置IIS网站web服务器的安全策略配置解决方案
配置IIS网站web服务器的安全策略配置解决方案 2019-05-23
Nginx服务器究竟是怎么执行PHP项目
Nginx服务器究竟是怎么执行PHP项目 2019-05-24
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情
华为nova5pro和p30pro哪个好 华为nova5pro和华为p30pro对比详情 2019-06-22
返回顶部