2013年12月20日 星期五

微軟Office 365雲端服務漏洞(含影片示範)

微軟Office 365雲端服務漏洞(含影片示範)

Office 365要求使用者登錄自己的帳號,每當從SharePoint伺服器上下載文件時,便會透過單一認證令牌(authentication token)的發送,來對當下登入使用者的憑證進行驗證。

然而,Liran卻發現,透過運行自己的伺服器,並回送合法SharePoint伺服器所預期的回應時,使用者便可隨意地發送認證令牌。

「若現在,我的惡意Web伺服器,擁有你的個人Office 365認證令牌,那麼便能夠輕易地進入貴公司的SharePoint Online網站,並可下載、修改所有憑證,甚至為所欲為,而你將毫無所覺。事實上,你甚至連遭到攻擊都不知道,這會是個完美的犯罪。」


原文出處:Office 365雲端服務出現漏洞 允許駭客竊走憑證
轉載自《網路攻防戰》