微软披露Azure中的严重漏洞 能用来执行跨站脚本攻击

参考The Hackers News得知，微软 Azure Bastion 和 Azure Container Registry 披露了两个严重的安全漏洞，这些漏洞可能被利用来执行跨站脚本攻击(XSS)。

Orca 安全研究员 Lidor Ben Shitrit 在一份报告中表示，这些漏洞允许在受感染的 Azure 服务 iframe 中未经授权访问受害者的会话，从而导致未经授权的数据访问、未经授权的修改以及 Azure 服务 iframe 的中断。

XSS攻击发生在攻击者将任意代码注入原本可信任的网站时，每次当毫无戒心的用户访问该网站，该代码就会被执行。

为了利用这些弱点，攻击者必须对不同的 Azure 服务进行侦察，以找出易受攻击的端点，这些端点可能缺少 X-Frame-Options 标头，或者是数字内容共享的安全策略 ( CSP )方面的薄弱。

在 Orca 演示的概念验证 (PoC) 中发现，特制的 postMessage 能够操纵 Azure Bastion Topology View SVG 导出器或 Azure Container Registry Quick Start 来执行 XSS 负载。这些工具可以帮助您快速创建和管理数据库，并且可以在您的应用程序运行时自动检查错误。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!