首页 科技 > 正文

WordPress iOS应用程序将安全令牌泄露给第三方

很多文章的报道都是由微观而宏观,今日小编讲给大家带来的关于WordPress iOS应用程序将安全令牌泄露给第三方的资讯也不例外,希翼可以在一定的程度上开阔你们的视野!y有对WordPress iOS应用程序将安全令牌泄露给第三方这篇文章感兴趣的小伙伴可以一起来看看

WordPress的所有者Automattic已联系其用户,向他们保证,其官方iOS应用程序中的一个错误是将网站身份验证令牌暴露给第三方。该公司确认没有泄露任何用户名或密码,但拒绝评论有多少用户受到影响以及泄漏是如何被发现的。

受影响的网站是在第三方网站上托管内容的网站,例如在Imgur上托管的图像。如果网站的治理员通过iOS应用程序更新了它,则可能是网站的身份验证令牌被发送到第三方内容托管站点。

“这个问题制造了向第三方网站公开安全凭证的潜力,并且只影响了外部托管图像的私人网站(例如,使用像Flickr这样的服务),这些网站可以通过应用程序查看或编写,”该公司在一封电子邮件中说道。本周发送给用户。

没有证据表明由于泄漏而发生任何恶意活动,但是通过访问身份验证代码,攻击者可以使用它来操纵WordPress网站,而无需密码。这可能导致从数据窃取到彻底根除网站的任何事情。

“在验证具有持久连接要求的应用程序和服务时,访问和身份验证令牌很常见,”Synopsys高级技术推广人员Tim Mackey说。“例如,如果移动应用程序在每个应用程序启动时都没有提示用户提供凭据,那么很有可能正在使用访问令牌”。

在Automattic给用户的电子邮件中,它说“我们已将您的应用与您的帐户断开作为预防措施”,这表示受影响的代币已被重置,因此无效。

“使用任何形式的访问令牌的用户应该认识到,更改密码通常不会使访问令牌无效,”Mackey说。“相反,他们需要撤销应用程序访问权限才干生成新令牌。对于移动应用程序,卸载应用程序并重新安装它通常也会生成新令牌。”

根据codeinwp,大约33%的网站使用WordPress,所有CMS的50-60%也是基于WordPress的。

2018年10月,当爱尔兰数据保护委员会(DPC)证实300万欧盟用户从Facebook黑客窃取他们的访问权限时,访问令牌的主题确实进入了网络安全对话。

使用被盗访问令牌攻击了3000万Facebook用户,攻击者可以访问存储在其个人资料中的一系列个人信息。在这些案件中,有1400万件数据被盗,包括姓名,列出的联系方式以及搜索和位置数据等敏感信息。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。