/cdn.vox-cdn.com/uploads/chorus_asset/file/25299201/STK453_PRIVACY_B_CVirginia.jpg)
The Verge
·
Okta登录漏洞绕过了对某些长用户名的密码检查
💡
原文英文,约100词,阅读约需1分钟。
📝
内容提要
2024年10月30日,发现AD/LDAP DelAuth存在生成缓存密钥的漏洞。用户只需提供用户名和之前成功认证的缓存密钥即可进行认证,尤其在代理不可达或流量高时更易被利用。
🎯
关键要点
- 2024年10月30日,发现AD/LDAP DelAuth存在生成缓存密钥的漏洞。
- 该漏洞允许用户仅提供用户名和之前成功认证的缓存密钥进行认证。
- 使用Bcrypt算法生成缓存密钥,结合用户ID、用户名和密码进行哈希处理。
- 在特定条件下,漏洞可被利用,尤其是在代理不可达或流量高时。
- 此漏洞导致DelAuth首先访问缓存。
➡️
