文章总结: 作者在微软漏洞赏金计划中,通过BurpSuite直接发送权限验证请求,绕过了403禁止访问,获取了64,000个AzureAD用户和40,000个已删除用户的信息。尽管微软未认定为漏洞,但展示了客户端请求操纵可导致未授权访问。 综合评分: 82 文章分类: 渗透测试,红队,web安全,漏洞分析,实战经验
0184.并非真正的 403 错误:我如何最终访问了 10 万 Azure AD 用户:我的微软研究院故事
原创
Hamzadzworm Hamzadzworm
Rsec
2026年7月9日 18:15 贵州
在小说阅读器读本章
去阅读
本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。
声明:本文搬运自互联网,如你是原作者,请联系我们!
类型:403绕过
您好,又见面了。
这是 Abdelkader Mouaz,又名 Hamzadzworm。
今天我想分享一份我提交给微软安全响应中心 (MSRC) 的最有趣的报告之一。尽管这份报告最终被归类为 “非漏洞”, 但我认为研究过程本身值得分享。
目标
我受邀参加了一个私人漏洞赏金计划,该公司向我提供了微软凭据,让我测试他们的环境。
像往常一样,我没有只使用一个应用程序。
我开始使用同一个账户登录不同的微软服务,看看有没有什么有趣的东西。
最终,我找到了一个。
当我进入 “用户” 部分时,我看到的内容完全符合我的预期:
403 禁止访问。
于是我开始逐一检查应用程序发出的每一个请求。
过了一会儿,一个请求引起了我的注意。
这是一个权限验证请求。
出于好奇,我直接使用 Burp Suite发送了请求。
结果令我意外。
应用程序没有停止,而是继续加载。
几秒钟后,我看到了一个包含超过 64,000 个 Azure Active Directory 用户的目录。
还有 4 万个已删除用户
我不仅可以浏览用户,还可以查看与每个帐户关联的信息,并导出完整的目录数据并下载。
那一刻,我真的相信我发现了一个严重的授权问题。 所以我把所有事情都记录了下来,录制了概念验证视频,并将报告提交给了微软。
他们的第一反应出乎我的意料。
这是微软的初步应对措施:
还有一件事,在我把这个问题提交给微软之后,他们又加了一条备注:
#
你怎么认为?
#
如果一个受限帐户被拒绝访问某个页面,但仍然可以通过操纵自己的客户端请求来访问底层目录,您认为这是一个安全漏洞吗?
#
我也遇到过类似的 PayPal 问题,稍后我会分享相关经历。敬请期待 -.-
期待听到您的想法和评价。
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Rsec Hamzadzworm Hamzadzworm《0184.并非真正的 403 错误:我如何最终访问了 10 万 Azure AD 用户:我的微软研究院故事》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论