微软揭示了Azure中的严重漏洞,可执行跨站脚本攻击
发布时间:2023-06-19 14:11:34 所属栏目:安全 来源:
导读:微软 Azure Bastion和 Azure Container Regist在y披露了两个严重的安全漏洞,这可能被用于执行跨站脚本攻击(XSS)。
Orca 安全技术员 Lidor Ben Shitrit 在一份文件中表示,这些缺陷允许在受感染的 Azure 服务 ifra
Orca 安全技术员 Lidor Ben Shitrit 在一份文件中表示,这些缺陷允许在受感染的 Azure 服务 ifra
|
微软 Azure Bastion和 Azure Container Regist在y披露了两个严重的安全漏洞,这可能被用于执行跨站脚本攻击(XSS)。 Orca 安全技术员 Lidor Ben Shitrit 在一份文件中表示,这些缺陷允许在受感染的 Azure 服务 iframe 中未经授权访问受害者的会话,从而导致未经许可的数据访问、未经授权的修改以及 Azure 服务 iframe 的中断。 Orca 发现的两个缺陷利用了 postMessage iframe 中的一个漏洞,从而实现 Window 对象之间的跨域通信。这意味着该漏洞可能会被滥用,以使用 iframe 标签将端点嵌入远程服务器,并最终执行恶意 JavaScript 代码,从而导致敏感数据遭到破坏。 “一旦攻击者成功地将 iframe 嵌入远程服务器,他们就会继续利用配置错误的端点,”Ben Shitrit 解释道。“他们专注于处理 postMessages 等远程事件的 postMessage 处理程序。” 为了利用这些弱点,攻击者必须对不同的 Azure 服务进行侦察,以找出易受攻击的端点,这些端点可能缺少 X-Frame-Options 标头,或者是内容安全策略 ( CSP )薄弱。 因此,当受害者被引诱访问受感染的端点时,恶意的 postMessage 有效载荷被传送到嵌入式 iframe,触发 XSS 漏洞并在受害者的上下文中执行攻击者的代码。当攻击者利用这些漏洞进行攻击时,他们可以通过使用xss漏洞来获取用户数据,并将其转换为对应的代码。 (编辑:驾考网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
