摘要：在安全研究员杰克·惠顿帮助下，微软已经修复了在其主认证系统当中存在的CSRF(跨站请求伪造)漏洞。微软Azure，Outlook和Office均使用这种认证系统。该漏洞允许攻击者窃取受害者的身份验证令牌，然后使用它来登录到受害者帐户。

杰克·惠顿在博客当中描述了漏洞工作原理，他表示这个问题出在微软自己研发的认证系统，其功能类似OAuth协议。当用户通过Azure，Outlook或Office经典的登录页面登录，攻击者使用URL重定向，添加了一个参数，让微软的登录服务验证用户，然后重定向回到攻击者定义的网址，以盗窃用户的身份标志认证令牌，然后使用这个令牌出重新登录到微软认证系统，进而访问用户帐户。

杰克·惠顿在今年1月向微软报告了这一问题，微软向其奖励$ 13,000。微软去年向Wesley Wineberg支付了类似金额的奖励，因为Wesley Wineberg发现了微软OAuth登录系统的一个缺陷。这次获奖的杰克·惠顿是一个著名的安全研究人员，是Facebook错误赏金计划收入最高的安全研究人员之一。

 

(责任编辑：安博涛)