Trang chủ Tản mạn Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ...

Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ chế xác thực của mình

Một chuyên gia nghiên cứu bảo mật vừa được Microsoft thưởng $13000 cho việc người này đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong hệ thống xác thực do Microsoft xây dựng. Lỗ hổng này có thể giúp tin tặc có thể truy cập vào các tài khoản Outlook, Azure và Office của bất kỳ người dùng nào.

Lỗ hổng bảo mật này được phát hiện bởi Jack Whitton – chuyên viên tư vấn an ninh tại Anh. Lỗ hổng được mô tả tương tự như Microsoft OAuth CSRF (yêu cầu giả mạo Cross-Site) trong Live.Com đã được phát hiện bởi Synack nghiên cứu bảo mật Wesley Wineberg. Tuy nhiên khác biệt chính giữa các lỗ hổng là lỗ hổng của Wineberg ảnh hưởng đến cơ chế bảo vệ OAuth của Microsoft trong khi phát hiện của Whitton ảnh hưởng trực tiếp đến hệ thống xác thực chính của Microsoft.

microsoft-auth

Microsoft xử lý xác thực qua các dịch vụ trực tuyến của nó bao gồm cả Outlook, Azure và Office thông qua các yêu cầu thực hiện tại login.live.com, login.windows.net, và login.microsoftonline.com. Ví dụ, nếu người dùng truy cập outlook.office.com và chuyển hướng đến địa chỉ login.microsoftonline.com có chứa tham số ‘wreply’ để chỉ định để tên miền mà người dùng muốn truy cập. Lỗ hổng này được khai thác nếu như một người dùng đã đăng nhập, một lệnh POST được gửi lại với tên miền trong giá trị wrely chứa mã xác nhận (token) của người dùng và hacker có thể thực hiện thao tác lấy mã xác nhận này để truy cập vào các tài khoản từ dịch vụ của Microsoft.

Microsoft đã vá lỗ hổng trong vòng hai ngày sau khi Whitton gửi báo cáo cho công ty vào ngày 24/1. Và $13000 là số tiền mà Jack Whitton đã nhận được từ Microsoft.

Huỳnh Mai Anh Kiệt (Theo THN)

- Advertisement -
Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng dẫn tạo bộ đếm lùi thời gian bằng JavaScript

Mới đó mà đã gần nửa năm 2021 trôi qua. Tình hình dịch bệnh COVID-19 cũng chẳng mấy khả quan. Nhưng vẫn cứ hy...

Hướng dẫn tạo hiệu ứng mưa rơi trên trang web với JavaScript

Quy Nhơn chớm bước vào mùa hè với nắng nóng. Những lúc thế này tự nhiên lại thèm những cơn mưa để giải tỏa...

Instagram ra mắt tính năng tạo chú thích tự động cho Stories và Reels

Tiếp bước TikTok, Instagram hiện cũng đã ra mắt tính năng tạo chú thích (caption) tự động của riêng mình. Tính năng mới này đã...

Facebook đã chính thức cập nhật tính năng “bong bóng chat” trên iPhone

Mới đây, Facebook đã chính thức cập nhật tính năng Chat Heads (hay còn gọi là bong bóng chat) trên iPhone, cho phép người...

Facebook Workplace đạt mốc 7 triệu người dùng trả phí

Vào thứ Ba vừa rồi, Facebook vừa mới thông báo ứng dụng Facebook Workplace của họ tính cho tới thời điểm hiện tại đã...

BẠN XEM CHƯA

Kiểm tra và thêm tiền tố HTTP cho URL nếu thiếu với ngôn ngữ PHP

Hôm nay đụng một vấn đề như sau: Có 1 input cho khách nhập dữ liệu là một URL vào để gửi đi xử...

Đổi tổng số giây ra định dạng hh:mm:ss trong PHP

Hôm nay động đến một task có liên quan đến một yêu cầu như thế này: Sẽ có số tổng thời gian tính bằng...

15 tính năng tìm kiếm trên Google có thể bạn không biết

Google là một công cụ tìm kiếm chính và gần như là chủ đạo trên internet. Nhưng theo thời gian, Google đã vượt xa...

Mua các sản phẩm công nghệ giá rẻ tại PC World Shop

Mới mua được một gói VPN Lifetime (trọn đời) của VPN Unlimited với giá siêu rẻ $39 (giá thực tế là $499). Bạn cũng có...

Cộng thêm ngày trong Shopify Liquid

Bạn có muốn cộng thêm ngày vào một ngày cụ thể trong Shopify? Dưới đây là giải pháp để thêm ngày vào ngày hiện...