/
Token泄露风险 关键字列表
GitHub浏览器版VSCode编辑器存在安全漏洞,开发者Token面临被盗风险
安全研究员Ammar Askar披露了GitHub浏览器版VSCode编辑器(github.dev)中的一个漏洞。该漏洞源于OAuth令牌未限定访问范围,攻击者可通过恶意Jupyter Notebook扩展窃取令牌,进而访问开发者所有私有代码库。微软已实施临时修复措施。此次事件还引发了关于漏洞披露规范的讨论:研究员因曾被忽视贡献,仅提前一小时通知微软即公开漏洞,引发业界对供应商与研究人员权责平衡问题的广泛关注。
白皮书
京公网安备 11010802021500号
