声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
背景介绍:
2021 年在 Gais Cyber Security 工作早期阶段的白帽小哥突然接到经理打来的电话,电话那端兴奋地说道 “我认为 Microsoft Teams 存在漏洞,让我们一起来看看吧!”,于是他们开始工作,在 2 小时内,白帽小哥发现了他的第一个 Microsoft Teams 漏洞,该漏洞以账户接管 (ATO) 告终。
漏洞发现:
在报告该漏洞一年后,白帽小哥决定再次探索 Microsoft Teams,看看还能有何发现,Teams 有很多功能,但有一个功能是每个人都特别喜欢的---发送贴纸!
白帽小哥给他的朋友发了一张贴纸,并评估这一切是如何运作的:
原文始发于微信公众号(骨哥说事):绕过 CSP 保护,在Microsoft Teams 上实现XSS攻击
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论