黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會(huì)為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過(guò)

    跳過(guò)將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 動(dòng)態(tài)
    新聞分類

    研究人員在OneDrive文件選擇器中發(fā)現(xiàn)安全缺陷 會(huì)授予整個(gè)云盤的訪問權(quán)限

    動(dòng)態(tài) PRO 稿源:藍(lán)點(diǎn)網(wǎng) 2025-06-04 04:35

    通常情況下像 OneDrive、Google Drive 這類網(wǎng)絡(luò)云盤都會(huì)提供開放平臺(tái)供第三方開發(fā)者調(diào)用,用戶在授予相關(guān)權(quán)限后即可通過(guò)第三方應(yīng)用程序訪問云盤中的文件,這些通過(guò) OAuth 機(jī)制進(jìn)行授權(quán)。

    安全研究人員 Oasis 發(fā)現(xiàn)微軟的 OneDrive OAuth 的授權(quán)機(jī)制存在缺陷,這并非漏洞而是微軟給第三方授予的權(quán)限過(guò)于寬泛,這可能導(dǎo)致第三方讀取整個(gè)云盤中存儲(chǔ)的文件。

    具體來(lái)說(shuō) OneDrive 提供文件選擇器,文件選擇器指的是讓用戶可以檢索文件并選擇,然后允許第三方進(jìn)行讀取,微軟使用的機(jī)制是既然用戶需要查找文件那直接給文件選擇器查看 OneDrive 所有文件的權(quán)限。

    但微軟可以改進(jìn)機(jī)制,先允許 OneDrive 內(nèi)部的文件選擇器瀏覽全部文件并讓用戶選擇特定文件,然后將用戶選中的文件權(quán)限授予第三方,這樣第三方只能讀取用戶選擇后的文件。

    Oasis 的研究團(tuán)隊(duì)稱因?yàn)?OneDrive OAuth 范圍過(guò)于寬泛,同時(shí)誤導(dǎo)性的同意屏幕 (指用戶授予第三方權(quán)限的提醒) 未能清楚解釋授予的訪問范圍。

    這個(gè)問題會(huì)導(dǎo)致第三方可以直接讀取用戶存儲(chǔ)在 OneDrive 中的所有文件,可能造成客戶數(shù)據(jù)泄露或者違反合同規(guī)定等,而且很多流行的程序例如 ChatGPT、Trello 和 Slack 等也受影響,因?yàn)檫@些程序也和 OneDrive 集成。

    安全團(tuán)隊(duì)還強(qiáng)調(diào)上傳文件時(shí)的消息傳遞也不夠清晰,這可能會(huì)誤導(dǎo)人們認(rèn)為這些云存儲(chǔ)解決方案時(shí)足夠安全的,而缺乏細(xì)粒度的授權(quán)范圍使得用戶無(wú)法區(qū)分針對(duì)所有文件的惡意程序和要求權(quán)限過(guò)多的合法程序,因?yàn)橛脩魤焊鶝]有選擇。

    最后使用 OAuth 存儲(chǔ)的令牌通常也不夠安全,因?yàn)檫@些令牌以純文本形式保存在瀏覽器的會(huì)話存儲(chǔ)中,Oasis 研究團(tuán)隊(duì)已經(jīng)將該漏洞報(bào)告給微軟并得到微軟確認(rèn),不過(guò)微軟暫時(shí)還未修復(fù)問題。

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

    圖庫(kù)
    公眾號(hào) 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號(hào)
    隨時(shí)掌握互聯(lián)網(wǎng)精彩
    贊助鏈接