名为nOAuth的身份验证漏洞可导致帐户被完全接管

据外媒近期报道，名为 nOAuth 滥用的严重身份验证漏洞已成为 Microsoft Entra ID 集成 SaaS 应用程序的严重威胁，使攻击者能够以最小的技术复杂性实现完全的帐户接管。该漏洞利用了应用程序开发人员实施OpenID Connect身份验证方式的根本缺陷，特别是他们依赖可变的电子邮件属性而不是不可变的用户标识符来进行帐户管理。该漏洞绕过了传统的安全控制，包括多因素身份验证、条件访问策略和端点检测系统，因此值得长期警惕。