Trang chủ Tản mạn Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ...

Microsoft thưởng $13000 cho người tìm ra lỗi bảo mật trong cơ chế xác thực của mình

Một chuyên gia nghiên cứu bảo mật vừa được Microsoft thưởng $13000 cho việc người này đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong hệ thống xác thực do Microsoft xây dựng. Lỗ hổng này có thể giúp tin tặc có thể truy cập vào các tài khoản Outlook, Azure và Office của bất kỳ người dùng nào.

Lỗ hổng bảo mật này được phát hiện bởi Jack Whitton – chuyên viên tư vấn an ninh tại Anh. Lỗ hổng được mô tả tương tự như Microsoft OAuth CSRF (yêu cầu giả mạo Cross-Site) trong Live.Com đã được phát hiện bởi Synack nghiên cứu bảo mật Wesley Wineberg. Tuy nhiên khác biệt chính giữa các lỗ hổng là lỗ hổng của Wineberg ảnh hưởng đến cơ chế bảo vệ OAuth của Microsoft trong khi phát hiện của Whitton ảnh hưởng trực tiếp đến hệ thống xác thực chính của Microsoft.

microsoft-auth

Microsoft xử lý xác thực qua các dịch vụ trực tuyến của nó bao gồm cả Outlook, Azure và Office thông qua các yêu cầu thực hiện tại login.live.com, login.windows.net, và login.microsoftonline.com. Ví dụ, nếu người dùng truy cập outlook.office.com và chuyển hướng đến địa chỉ login.microsoftonline.com có chứa tham số ‘wreply’ để chỉ định để tên miền mà người dùng muốn truy cập. Lỗ hổng này được khai thác nếu như một người dùng đã đăng nhập, một lệnh POST được gửi lại với tên miền trong giá trị wrely chứa mã xác nhận (token) của người dùng và hacker có thể thực hiện thao tác lấy mã xác nhận này để truy cập vào các tài khoản từ dịch vụ của Microsoft.

Microsoft đã vá lỗ hổng trong vòng hai ngày sau khi Whitton gửi báo cáo cho công ty vào ngày 24/1. Và $13000 là số tiền mà Jack Whitton đã nhận được từ Microsoft.

Huỳnh Mai Anh Kiệt (Theo THN)

- Advertisement -
Huỳnh Mai Anh Kiệthttps://anhkiet.biz
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên cho Hura Apps - một startup nhỏ về công nghệ tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

BÀI VIẾT MỚI

Hướng dẫn tải video ngắn Facebook Reel miễn phí

Facebook Reels là tính năng video ngắn mới của Facebook. Nếu bạn muốn tải những video ngắn này của mọi người thì bạn có...

Lập Trình Viên 25 Tuổi Kiếm Được $30.000 Mỗi Tháng Từ Các Ứng Dụng Shopify

Mat De Sousa là một doanh nhân Pháp, anh là người đứng sau 2 ứng dụng Shopify là Wide Bundles và WideReview do chính...

Lần đầu nhận quà từ Shopify

Hura Apps là 1 trong những đối tác của Shopify được vinh dự Shopify chọn tham gia chương trình (Huấn luyện Thương mại) Commerce...

Một số ưu đãi của Shopify cho người dùng đăng ký mới

Shopify chỉ cho phép người dùng mới 14 ngày dùng thử miễn phí. Nếu bạn cảm thấy khoảng thời gian này là không đủ...

Trang web hỗ trợ tìm kiếm trên Facebook

Facebook là mạng xã hội lớn nhất hiện nay. Thông tin được người dùng chia sẻ trên mạng xã hội này là vô cùng...

BẠN XEM CHƯA

Đúng và Sai

Hồi con đi học có vài môn thi... rớt. Ngẫm lại bài làm thế này: "Kể ra mình làm cũng có ý... gần gần...

HostVN mời khách hàng dùng thử miễn phí WordPress Hosting

WordPress hiện đang là mã nguồn được sử dụng làm website bán hàng, tin tức, giới thiệu doanh nghiệp phổ biến nhất, chiếm phần...

Jeff Bezos sẽ rời vị trí CEO của Amazon

Theo một thông báo mới đây từ Amazon, Jeff Bezos, người sáng lập và là CEO của gã khổng lồ này trong gần 30...

Khóa tính năng đổi màn hình khi xoay màn hình trên Android

Làm web nhiều với việc thực hiện các yêu cầu responsive nên khi tiếp xúc lần đầu với Android mình thật sự... hoảng với...

Chuyện tình yêu và chuyện mặc áo mưa

Ra khỏi nhà khi trời không mưa, cũng như bạn bước vào một cuộc tình tưởng như yên ả. Trời bắt đầu mưa nhỏ, bạn...