Source: The Verge
星期五晚上,Okta更新了其安全建议列表,披露了一个奇怪的漏洞。该漏洞使得在特定情况下,用户可以仅通过输入任何内容作为密码来登录,前提是该账号的用户名超过52个字符。报告指出,利用此漏洞的其他前提包括Okta需要检查之前成功登录的缓存,并且组织的身份验证政策没有额外的条件,比如要求多因素认证(MFA)。
该漏洞自2024年10月30日内部发现,涉及AD/LDAP DelAuth的缓存密钥。在特定条件下,用户只需提供用户名和之前成功身份验证的缓存密钥即可进行认证。
此漏洞可以在代理宕机或流量过大的情况下被利用。Okta表示,从Bcrypt加密算法切换到PBKDF2后,漏洞已被解决。
此问题自7月23日的更新起就存在。Okta尚未立即回应进一步的请求,但呼吁满足条件的客户查看过去三个月的系统日志。
在技术如此发达的今天,我们能否更好地保护个人信息,抵御网络漏洞的威胁?
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://www.theverge.com/2024/11/1/24285874/okta-52-character-login-password-authentication-bypass
https://support.okta.com/help/s/question/0D54z00007roO8aCAE/password-cache-shows-up-in-username-field-when-going-to-login%3Flanguage%3Den_US
https://developer.okta.com/blog/2018/02/27/a-breakdown-of-the-new-saml-authentication-bypass-vulnerability
