TGTGInsightаналитика telegramLIVE / telegram public index
Содержимое поста
Содержимое
Дилан из truffleSecurity рассказывает про простейшую дыру (назвать это уязвимостью кажется громковато), которая позволяет пользователям компаний, использующих авторизацию в сервисах вроде Slack или Zoom через Google, продолжать иметь доступ даже после увольнения и удаления доступов. Всё как обычно, дыра в том, что подобные сервисы используют в качестве идентификатора пользователя email. Но, очевидно, что ты можешь создать несколько разных почтовых адресов, которые получают одни и те же письма (например, банально через добавление слов после "+"). https://trufflesecurity.com/blog/google-oauth-is-broken-sort-of/