MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,939 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Обсуждение новостей, связанных с финансами и инвестициями.
При поддержке
Первый пост Опции темы
Старый 14.10.2015, 15:32
#1
Специалист
 
Имя: Oleg
Пол: Мужской
Адрес: Russia,Bachkortostan,Ufa
Инвестирую в: Другое
Регистрация: 23.04.2015
Сообщений: 605
Благодарностей: 189
$24000 заработал исследователь, нашедший уязвимость в системе Live.com


Microsoft удостоила исследователя, нашедшего критическую уязвимость в аутентификационном механизме Live.com, вознаграждением в размере $24 000. Баг действительно был серьезным, так как через авторизацию на Live.com проходят все пользователи сервисов Microsoft — Outlook, OneDrive, Windows Phone, Skype и Xbox LIVE. В результате эксплуатации бреши, злоумышленник мог получить полный доступ к аккаунтам жертвы.

Сейчас для всех сервисов используется один аккаунт. Таким образом, если Outlook запрашивает доступ к другим приложениям, в ход идет стандарт OAuth. Данный открытый стандарт создан специально для подобных случаев. Вместо того, чтобы делиться со сторонними сайтами паролем пользователя, он использует специальный ключ — Access token. Аутентификация происходит очень быстро, пользователю лишь нужно прочитать запрос и нажать «Да», чтобы разрешить приложению доступ к своему аккаунту:

Сотрудник компании Synack Уэсли Вайнберг (Wesley Wineberg) обнаружил способ, позволяющий обойти механизмы защиты OAuth. Для этого он написал proof-of-concept приложение, названное просто — Evil App. Техника, описанная исследователем, проста: вредоносное приложение может легко получить доступ к аккаунту жертвы, попросту перехитрив пользователя и обманом заманив его на специально созданную веб-страницу, с которой даже не потребуется никак взаимодействовать. На анимации ниже, запечатлен весь процесс. Вайнберг подчеркивает, что в ходе демонстрации он специально не маскировал вредоносную активность и не пытался спрятать ее, к примеру, выдав за рекламный баннер. Но такое бесспорно легко осуществить.

Вайнберг уверен, что данная уязвимость – идеальная почва для распространения червя: «Использование данного бага для таргетированной атаки, безусловно, будет эффективно. Но еще такую уязвимость можно запросто превратить в червя. Червь сможет легко отправить себя всем контактам пострадавшего пользователя и заразит каждого, кто кликнет по ссылке».

Сколь бы ни был велик потенциал данной уязвимости, развить его хакерам уже не удастся. Microsoft исправила баг в середине сентября 2015 года, а Вайнбергу, в рамках программы вознаграждений, выплатили $24 000.
https://xakep.ru/2015/10/13/live-com-reward/
FTPPSFTP вне форума
Сказали спасибо:
mrJackson (16.10.2015)
Старый 14.10.2015, 18:16
#2
Мастер
 
Инвестирую в: Свой бизнес
Регистрация: 16.04.2013
Сообщений: 1,829
Благодарностей: 1,090
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Что-то пожадничали,могли и побольше дать за такую заслугу.
VESTAXXX вне форума
Сказали спасибо 2 раз(а):
mrJackson (16.10.2015), SOLO-MON (15.10.2015)
Старый 15.10.2015, 12:40
#3
Любитель
 
Пол: Мужской
Регистрация: 05.08.2013
Сообщений: 125
Благодарностей: 26
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от VESTAXXX Посмотреть сообщение
Что-то пожадничали,могли и побольше дать за такую заслугу.
да, думаю следующий кто найдёт такой баг просто его мошенникам дороже продадут. Так что тут они себе плохую репутацию сделали
INVI вне форума
Сказали спасибо 2 раз(а):
mrJackson (16.10.2015), VESTAXXX (15.10.2015)
Старый 15.10.2015, 19:15
#4
Мастер
 
Инвестирую в: Свой бизнес
Регистрация: 16.04.2013
Сообщений: 1,829
Благодарностей: 1,090
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от INVI Посмотреть сообщение
да, думаю следующий кто найдёт такой баг просто его мошенникам дороже продадут. Так что тут они себе плохую репутацию сделали

Скупой платит дважды,тупой трижды
VESTAXXX вне форума
Сказали спасибо:
mrJackson (16.10.2015)
Старый 15.10.2015, 22:04
#5
 
Пол: Мужской
Адрес: Western
Регистрация: 03.09.2010
Сообщений: 22,360
Благодарностей: 3,590
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Мудрый Вайнберг заработал 24 000 долларов. У него точно потенциал, еще не одно раскрытие сделает.
bizneser вне форума
Сказали спасибо:
mrJackson (16.10.2015)
Старый 15.10.2015, 22:27
#6
Специалист
 
Имя: Платон
Пол: Мужской
Адрес: в игре
Инвестирую в: Другое
Регистрация: 02.03.2013
Сообщений: 706
Благодарностей: 680
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Если бы его взяли на ставку 24к - это было бы справедливо, а так
SOLO-MON вне форума
Сказали спасибо:
mrJackson (16.10.2015)
Старый 16.10.2015, 01:08
#7
Любитель
 
Имя: Jerry
Пол: Мужской
Адрес: Дублин
Инвестирую в: HYIP
Регистрация: 01.12.2012
Сообщений: 245
Благодарностей: 193
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от FTPPSFTP Посмотреть сообщение
Microsoft удостоила исследователя,
Рискну предположить ,что он и так у них на ставке,а это была просто премия
mrJackson вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Live] Live ставки на теннис Данил Пестрецов Архив: Прогнозы от пользователей 77 27.02.2020 11:19
Возможная критическая уязвимость Proof-of-Stake Alex077 Новости криптовалют 1 28.05.2014 14:02