三星官網介面出現CSRF,險成會員帳號劫持途徑

圖片來源:https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQMAEUUYg7cAN7HjQOhDojWiOX-EXKhlSke1WvU1ap5m7-HaTWD3w

Samsung手機用戶,可於雲端設定個人化服務,自然不免身分驗證程序,然經烏克蘭軟體抓漏好手Artem Moskowsky測試,發覺三星官網入口,囿於辨識用戶請求時,安全性過低,存在不同程度之跨站台請求偽造漏洞,且實際探勘這3項CSRF均可奏效,能窺伺、竄改用戶個資;停用2-factor authentication身分驗證;甚至強行置換安全提問與答案,重設密碼後假冒受害者身分,三星獲報後已修正web安全性設計,並餽贈獎金$13300。

影響產品:Samsung 帳號管理系統

解決辦法:三星已更正web入口網站安全性設計。

資料來源:

回到頂端