Autho 身份验证出现漏洞,致使企业遭受攻击

Auth0 是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施基于令牌的身份验证模型,每天管理 4,200 万次登录,并为 2000 多家企业客户管理每月登录数十亿次。

2017 年 9 月,来自安全公司 Cinta Infinita 的研究人员发现了 Auth0 的 Legacy Lock API 中的一个漏洞,并且测试了使用该服务进行身份验证的某个应用程序。专家们利用这个问题绕过了使用跨站点请求伪造(CSRF / XSRF)攻击触发 CVE-2018-6874 漏洞,对 Auth0 身份验证的应用程序绕过登录身份验证。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

戴尔曝eDellRoot根证书后门

今年早些时候,联想电脑被发现预装了Superfish广告程序,这款软件会增加用户受到黑客攻击的风险,一时引发了大量讨论,而最近,Duo实验室的安全研究人员在戴尔...

23050
来自专栏安恒信息

最为简单有效的加密工具将诞生

本月底美国纽约将举行的HOPE黑客大会中,电脑专家可波西将会推出一款超级简单的文件加密工具miniLock。这是一个免费、开源的浏览器插件工具,...

30880
来自专栏phodal

操作系统Emacs是如何沦落为一代编辑器的?

(本文根据史实改编,如有雷同纯属巧合) 我正在用Emacs替换IDE和Sublime Text,至于理由看另外一篇文章《Emacs是最好的编辑器~~》。 开始之...

49280
来自专栏企鹅号快讯

江湖秘笈:说烦了破解、渗透等,不如大家一起聊聊硬盘加密?

一天一点 Hello,看官们,恭喜你们艰苦的熬过了这周,并且在众多忙碌的工作中解放出来。 明天就是黄金周,紧随而来的是周一元旦佳节,虽然这个假期很短,整体时间只...

21260
来自专栏杨建荣的学习笔记

通过addm分析io问题(r2笔记64天)

昨晚在做测试环境数据迁移的时候,遇到了io的问题,本来预计2,3个小时完成的数据导入工作最后竟然耗了7个多小时。在数据的导入中,使用了10个并行的sessio...

27360
来自专栏BaronTalk

RxJava系列一(简介)

前言 提升开发效率,降低维护成本一直是开发团队永恒不变的宗旨。近一年来国内的技术圈子中越来越多的开始提及Rx,经过一段时间的学习和探索之后我也深深的感受到了R...

357110
来自专栏linux驱动个人学习

SMBus与I2C的差别

16320
来自专栏IMWeb前端团队

Web直播除了Flash,你还可以选择这些方案

本文作者:IMWeb 黄龙 原文出处:IMWeb社区 未经同意,禁止转载 温馨提示:文中并没有相关技术的具体代码。 方案有哪些?脑图先来一发 ? 除...

593100
来自专栏HenCoder

HenCoder Android:HTTP 为什么是安全的?

从这期开始,HenCoder 会开始讲自定义 View 以外的内容。目标依然是瞄准当代中国大多数工程师的弱点:瓶颈基础。这期是 HTTP 方面的内容,以后也许继...

10120
来自专栏SDNLAB

SDNLAB技术分享(七):开源SDN控制器DCFabric及云计算高效网络

1.DCFabric控制器的由来 1.1 SDN是云计算数据中心网络技术发展的必然要求 随着以虚拟化为基础的云数据中心的发展和成熟, 应用数据猛增,虚拟服...

38860

扫码关注云+社区

领取腾讯云代金券