$24000 заработал исследователь, нашедший уязвимость в системе Live.com - Новости в мире финансов и инвестиций | MMGP
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 434,854 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
Обсуждение новостей, связанных с финансами и инвестициями.
При поддержке
Важная информация
Есть опыт работы с криптовалютами? Заведи Крипто-Блог и заработай на нём!
Торгуешь криптовалютой? Оставь свой отзыв о бирже!
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 00:19
Старый 14.10.2015, 16:32
#1
Заблокированный
 
Пол: Мужской
Адрес: Russia
Инвестирую в: Свой бизнес
Регистрация: 24.04.2015
Сообщений: 635
Благодарностей: 226
УГ: 0
КП: 0.000
$24000 заработал исследователь, нашедший уязвимость в системе Live.com


Microsoft удостоила исследователя, нашедшего критическую уязвимость в аутентификационном механизме Live.com, вознаграждением в размере $24 000. Баг действительно был серьезным, так как через авторизацию на Live.com проходят все пользователи сервисов Microsoft — Outlook, OneDrive, Windows Phone, Skype и Xbox LIVE. В результате эксплуатации бреши, злоумышленник мог получить полный доступ к аккаунтам жертвы.

Сейчас для всех сервисов используется один аккаунт. Таким образом, если Outlook запрашивает доступ к другим приложениям, в ход идет стандарт OAuth. Данный открытый стандарт создан специально для подобных случаев. Вместо того, чтобы делиться со сторонними сайтами паролем пользователя, он использует специальный ключ — Access token. Аутентификация происходит очень быстро, пользователю лишь нужно прочитать запрос и нажать «Да», чтобы разрешить приложению доступ к своему аккаунту:

Сотрудник компании Synack Уэсли Вайнберг (Wesley Wineberg) обнаружил способ, позволяющий обойти механизмы защиты OAuth. Для этого он написал proof-of-concept приложение, названное просто — Evil App. Техника, описанная исследователем, проста: вредоносное приложение может легко получить доступ к аккаунту жертвы, попросту перехитрив пользователя и обманом заманив его на специально созданную веб-страницу, с которой даже не потребуется никак взаимодействовать. На анимации ниже, запечатлен весь процесс. Вайнберг подчеркивает, что в ходе демонстрации он специально не маскировал вредоносную активность и не пытался спрятать ее, к примеру, выдав за рекламный баннер. Но такое бесспорно легко осуществить.

Вайнберг уверен, что данная уязвимость – идеальная почва для распространения червя: «Использование данного бага для таргетированной атаки, безусловно, будет эффективно. Но еще такую уязвимость можно запросто превратить в червя. Червь сможет легко отправить себя всем контактам пострадавшего пользователя и заразит каждого, кто кликнет по ссылке».

Сколь бы ни был велик потенциал данной уязвимости, развить его хакерам уже не удастся. Microsoft исправила баг в середине сентября 2015 года, а Вайнбергу, в рамках программы вознаграждений, выплатили $24 000.
https://xakep.ru/2015/10/13/live-com-reward/
Баннер: {{ slide.title }}
FTPPSFTP вне форума  
Сказали спасибо:
mrJackson (16.10.2015)
Старый 14.10.2015, 19:16
#2
Профессионал
 
Инвестирую в: Свой бизнес
Регистрация: 17.04.2013
Сообщений: 1,246
Благодарностей: 824
УГ: 14
КП: 0.525
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Что-то пожадничали,могли и побольше дать за такую заслугу.
__________________

Пишу качественные статьи инвестиционной тематики.ЛС.
VESTAXXX вне форума  
Сказали спасибо 2 раз(а):
mrJackson (16.10.2015), SOLO-MON (15.10.2015)
Старый 15.10.2015, 13:40
#3
Любитель
 
Пол: Мужской
Регистрация: 06.08.2013
Сообщений: 111
Благодарностей: 24
УГ: 0
КП: 0.127
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от VESTAXXX Посмотреть сообщение
Что-то пожадничали,могли и побольше дать за такую заслугу.
да, думаю следующий кто найдёт такой баг просто его мошенникам дороже продадут. Так что тут они себе плохую репутацию сделали
INVI вне форума  
Сказали спасибо 2 раз(а):
mrJackson (16.10.2015), VESTAXXX (15.10.2015)
Старый 15.10.2015, 20:15
#4
Профессионал
 
Инвестирую в: Свой бизнес
Регистрация: 17.04.2013
Сообщений: 1,246
Благодарностей: 824
УГ: 14
КП: 0.525
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от INVI Посмотреть сообщение
да, думаю следующий кто найдёт такой баг просто его мошенникам дороже продадут. Так что тут они себе плохую репутацию сделали

Скупой платит дважды,тупой трижды
__________________

Пишу качественные статьи инвестиционной тематики.ЛС.
VESTAXXX вне форума  
Сказали спасибо:
mrJackson (16.10.2015)
Старый 15.10.2015, 23:04
#5
www.fairmonitor.com
crypto-блогер
 
Аватар bizneser
 
Пол: Мужской
Адрес: Western
Регистрация: 04.09.2010
Сообщений: 14,016
Благодарностей: 2,735
УГ: 16
Записей в CT-блоге: 63
Подписок CT: 1
КП: 0.105
подарки
награды Волшебный горшочек 
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Мудрый Вайнберг заработал 24 000 долларов. У него точно потенциал, еще не одно раскрытие сделает.
bizneser на форуме  
Сказали спасибо:
mrJackson (16.10.2015)
Старый 15.10.2015, 23:27
#6
Специалист
 
Имя: Платон
Пол: Мужской
Адрес: в игре
Инвестирую в: Другое
Регистрация: 03.03.2013
Сообщений: 669
Благодарностей: 686
УГ: 0
КП: 0.516
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Если бы его взяли на ставку 24к - это было бы справедливо, а так
SOLO-MON вне форума  
Сказали спасибо:
mrJackson (16.10.2015)
Старый 16.10.2015, 02:08
#7
Любитель
 
Имя: Jerry
Пол: Мужской
Адрес: Дублин
Инвестирую в: HYIP
Регистрация: 02.12.2012
Сообщений: 227
Благодарностей: 193
УГ: 0
КП: 0.151
Re: $24000 заработал исследователь, нашедший уязвимость в системе Live.com

Цитата:
Сообщение от FTPPSFTP Посмотреть сообщение
Microsoft удостоила исследователя,
Рискну предположить ,что он и так у них на ставке,а это была просто премия
mrJackson вне форума  
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 00:19
Опции темы

Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Возможная критическая уязвимость Proof-of-Stake Alex077 Новости криптовалют 1 28.05.2014 15:02
[Live] Live ставки на теннис Данил Пестрецов Прогнозы от пользователей 75 18.10.2013 11:34


Случайные темы
Аватар Микаэль
300$ Памм индексы или Gamma?
От Микаэль в разделе «Псевдоинвестиции: общий форум»
Аватар shark225
Отзывы euro-inside.com
От shark225 в разделе «Прогнозы»
Аватар bizneser
Неожиданный выбор: куда переедет крупнейший банк Великобритании после Brexit
От bizneser в разделе «Новости в банковской сфере и страховании»
Аватар all-hyips
Moetaoinvest - moetaoinvest.com
От all-hyips в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватар kral85
В результате взлома форума Clash of Kings похищены учетные записи 1,6 млн пользовател
От kral85 в разделе «Новости в мире финансов и инвестиций»
Аватар koddo
ПАММ-счет maximko16rus:616075 (ForexTrend)
От koddo в разделе «Архив: Инвестирование в ПАММ-счета»
.     
Пользователей
434,854
Тем
504,649
Сообщений
12,668,983

mmgp.telegram