TGTGInsightаналитика telegramLIVE / telegram public index
← addmeto
addmeto avatar

TGINSIGHT POST

Post #5578

@ADDMETO

addmeto

Просмотры60,900Количество просмотров
Опубликован21 дек.21.12.2023, 17:13
Содержимое поста

Содержимое

Дилан из truffleSecurity рассказывает про простейшую дыру (назвать это уязвимостью кажется громковато), которая позволяет пользователям компаний, использующих авторизацию в сервисах вроде Slack или Zoom через Google, продолжать иметь доступ даже после увольнения и удаления доступов. Всё как обычно, дыра в том, что подобные сервисы используют в качестве идентификатора пользователя email. Но, очевидно, что ты можешь создать несколько разных почтовых адресов, которые получают одни и те же письма (например, банально через добавление слов после "+"). https://trufflesecurity.com/blog/google-oauth-is-broken-sort-of/