黑客24小时在线接单网站

黑客在线接单,网站入侵,渗透测试,渗透网站,入侵网站

用户账户被劫持,微软披露价值50000美金的新漏洞

微软最近在其漏洞赏金计划中向一名安全人员颁发了5万美元的奖金。“高贵”漏洞难免让人好奇。

据了解,这个漏洞可以让黑客在用户不知情的情况下劫持用户账户。也就是说,当你躺在床上睡个好觉时,黑客可能已经偷偷潜入你的账户,通过账户掌握你的个人信息,用它进行金融交易,创建新账户,或者欺骗你的亲戚朋友,甚至进行更严重的非法活动。

虽然会造成严重影响,但漏洞的使用原理并不复杂。发现其安全人员指出,在用户重置密码之前,漏洞可以强行猜测发送给用户的电子邮件或手机号码的七位数密码,以访问用户账户。

然而,对于发送验证代码HTTP POST请求分析后发现密码在发送前是加密的,这意味着如果要强制破解密码,必须先破解加密。

截图显示,输入的1234567代码在请求中根本不存在。密码加密后发送验证。其目的是防止自动破解工具使用其系统。所以,就像Burp Intruder由于不能破解加密,因此不能使用此类自动测试工具。

然而,尽管目的是防止攻击者重复所有1000万代码组合的加密障碍和限速检查,但安全人员表示,他最终解决了加密功能。

然而,破解加密功能并不意味着攻击将成功。事实上,测试显示,只有122个代码可以通过发送的1000个代码,其他代码可以通过错误代码1211阻止。

对此,安全人员表示,如果所有发送的请求都没有同时到达服务器,他们自己的机制将是IP地址列入黑名单。此外,服务器可以检测到攻击并阻止请求之间的几毫秒延迟。

从攻击范围来看,虽然这种攻击只在账户没有被双因素认证保护的情况下有效,但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而,在实际场景中,该攻击的操作难度并不简单,攻击者必须同时发送安全码,大约要进行1100万次请求尝试,才能更改任何微软账户(包括那些启用2FA账户)密码。这样,就需要大量的计算资源和1000s的IP攻击可以通过地址成功完成。

因此,这种攻击的可行性不高,普通攻击者很难满足攻击条件。

在安全人员向微软报告此漏洞后,微软迅速承认此问题,并于2020年11月处理。

来源:thehackernews

   
  • 评论列表:
  •  纵遇语酌
     发布于 2022-06-06 05:08:54  回复该评论
  • 须先破解加密。截图显示,输入的1234567代码在请求中根本不存在。密码加密后发送验证。其目的是防止自动破解工具使用其系统。所以,就像Burp Intruder由于不能破解加密,因此不能使用此类自动测试工具。然而,尽管目的是防止攻击者重复所有1000万代码组合的加密障碍和限速检查,但安全人
  •  竹祭缪败
     发布于 2022-06-06 05:47:02  回复该评论
  • 被双因素认证保护的情况下有效,但它仍然可以扩展到击败两层保护并修改目标账户的密码。然而,在实际场景中,该攻击的操作难度并不简单,攻击者必须同时发送安全码,大约要进行1100万次请求尝试,才能更改任何微软账户(包括那些启用2FA账户)密码。这样,就需

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.