(資料圖)

▲攻擊過程演示，圖源Descope安全軟件公司Descope研究人員將該漏洞命名為“nOAuth”，存在于Azure云服務(wù)的ActiveDirectory中，黑客只需要?jiǎng)?chuàng)建一個(gè)具有管理員的Azure賬號(hào)，并把該賬號(hào)的電子郵件地址修改為他人的電子郵件地址，并利用“使用Microsoft登錄”，即可使用他人的Azure賬號(hào)登錄第三方網(wǎng)站?！暨^程演示，圖源Descope▲攻擊過程演示，圖源Descope▲攻擊過程演示，圖源DescopeDescope首席安全官ImerCohen表示，微軟在設(shè)計(jì)“身份驗(yàn)證”時(shí)存在缺陷，從而導(dǎo)致了Azure的“nOAuth”漏洞，該漏洞可能會(huì)影響相當(dāng)一部分Azure用戶。亞匯網(wǎng)注意到，微軟目前已經(jīng)承認(rèn)了該漏洞，并發(fā)布警告，提醒用戶不要泄露自己的電子郵件信息，并告知第三方開發(fā)者不應(yīng)當(dāng)將Token內(nèi)置于客戶端中。

關(guān)鍵詞：

責(zé)任編輯：