设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

RSA大会网上注册被吐槽:收集注册者Twitter明文凭证

2016-1-24 10:17| 发布者: 随便、先森。| 查看: 927| 评论: 0|来自: FreeBuf

摘要: 最近,安全专家们在Twitter上发现一个奇怪现象:RSA信息安全大会网站注册页面要求收集注册者的Twitter登录明文凭证,并将其发送回RSA的服务器上,而其在安全方面的设计令很多安全专家吐槽。Freebuf 百科:RSA信息安 ...

最近,安全专家们在Twitter上发现一个奇怪现象:RSA信息安全大会网站注册页面要求收集注册者的Twitter登录明文凭证,并将其发送回RSA的服务器上,而其在安全方面的设计令很多安全专家吐槽。

Freebuf 百科:RSA信息安全大会

RSA大会是信息安全界最有影响力的业界盛会之一。它于1991年由RSA公司(现为EMC公司信息安全事业部)发起,得到了业界的广泛支持。RSA大会一年一度分别在美国、欧洲和日本举办,其议程设计由信息安全从业者及其它相关专业人士评判和制定。19年来,RSA大会一直吸引着世界上最优秀的信息安全人士,创造机会让参会者跟同辈和杰出人物、跟新兴企业和知名企业直接交流,了解IT安全的最重要课题。随着IT安全领域的重要性和影响力不断提升,RSA大会在连接和培养全球信息安全专业人士方面,扮演着不可或缺的角色。

RSA网站注册要求提供Twitter登录凭证

最近,安全专家们在Twitter上发现了一个奇怪的事情,那就是在RSA会议网站上注册会员时,最后一步会请求注册者的Twitter登录凭证(明文登录密码),在注册者输入之后,会将其发送回RSA会议的服务器上。

你没有听错,确实是输入Twitter登录凭证。RSA的执行安全行动论坛(Executive Security Action Forum,ESAF)组织正在收集注册者的Twitter账户密码,而这一行为是通过专用的形式进行的。

在RSA会议网站注册页面的最后一步中,要求注册者提供社交媒体信息。

通过这种方式,用户的Twitter凭证直接被发送回RSA会议组织的服务器上。

输入的凭证竟然为明文

更让人不解的是,页面请求的竟然是明文密码,而并非实现可以保存用户数据的OAUTH身份验证机制。很多安全专家们表示很不解,同时对这一“最失败”的安全措施大喊大叫:为什么一家世界上最重要的安全公司会做如此愚蠢的事情呢?

所以,如果你计划参加下一届RSA会议,那么就直接跳到注册过程的最后一页,并填写你的Twitter登录凭证吧。

*参考来源:SecurityAffairs,FB小编JackFree编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部