2017年10月5日，安全公司Cinta Infinita联系Auth0报告我们的旧锁API（CVE-2018-6873）中存在漏洞。Cinta Infinita在进行独立研究时发现了这个问题。在特定情况下，Cinta Infinita在登录Auth0的管理仪表板时可以通过伪造身份验证令牌绕过密码验证。在验证了漏洞后，我们立即做出了响应，在收到初步通知后的四个小时内，向我们的云服务推送了一个补丁。接下来的两个星期里，我们的私人设备工程师一直在为我们的客户服务。在我们的调查过程中，我们清楚地发现，这种脆弱性是深层结构问题的一个特例。该攻击利用了一个潜在的跨站点请求伪造（CSRF/XSRF）漏洞（CVE-2018-6874）。CSRF漏洞是将登录小部件嵌入web应用程序时的常见结构缺陷，这是由于跨源身份验证的性质（我们一直在推动通用登录的原因之一）。为了完全解决这个问题并保护我们的客户，我们需要对锁登录小部件及其支持库进行重大更改。与Cinta Infinita发现的特殊情况的修复不同，如果不迫使我们的客户升级库/SDK，这个问题就无法解决，这是一项更重要的任务。我们与Cinta Infinita合作，让我们有时间在他们公开发行之前解决这个问题。双方都不希望漏洞暴露很长一段时间，所以我们商定了一个积极的时间表，物联网设备，仍然为我们所有的客户提供了充分的升级机会。在Cinta Infinita对时间的支持下，我们通过重写受影响的库并发布SDK的新版本（auth0.js 9和Lock 11）来改进漏洞。这是一个全力以赴的工作，包括我们的工程、客户成功和安全团队以及来自Auth0的许多个人。我们的目标是提供无缝升级。我们为那些使用10号锁和auth0.js 8号的客户实现了这一目标。我们向所有客户推出了多点触控通信计划，宣布弃用和移除易受攻击的端点，并通知他们迁移到新的SDK。我们联系了企业计划中的客户，并让他们有机会直接与安全和专业服务团队交谈，以制定单独定制的迁移计划。我们的工程团队了解到升级对许多客户来说会很麻烦，因此继续致力于解决潜在问题，并能够开发出一种可以在服务器端实现的缓解策略。这种策略不仅减轻了客户的负担，还显著降低了API漏洞的严重性等级。这发生在计划公开披露前三周。有了针对云客户的服务器端缓解措施，私人云服务器，淘客返利软件，用户现在即使在迁移到新软件版本之前也能得到更好的保护。由于严重降级，我们能够为客户提供额外三个月的升级时间，软件企业有哪些，而易受攻击的端点删除服务将于2018年7月16日而不是2018年4月1日进行。"由于严重降级，易受攻击的端点将于2018年7月16日删除服务。"在推特上留言安全是Auth0的重中之重，在过去的一年里，我们投入了大量资金来建立我们的计划。我们已经实施了一个新的安全软件开发生命周期过程，包括所有新的开发工作。我们所有的开发人员都会定期参加安全开发培训。我们将产品安全工程师嵌入到各个工程团队中，专注于内部代码和流程，同时建立应用程序安全团队，专注于外部接口和组件安全。我们执行由业界领先的第三方执行的定期渗透测试和代码审查，以及自动漏洞和组件安全扫描。有了这些人、过程和工具，一个审查和重构代码库的项目已经在进行中。该项目将使将来引入漏洞的可能性更大。"安全性是Auth0的首要任务，我们在过去一年中投入了大量资金来建立我们的计划。"在推特上留言漏洞是软件开发生命的一部分。我们要感谢Cinta Infinita，这一过程中的优秀合作伙伴。Cina与我们的客户进行了负责任的保护。我们鼓励任何人通过我们的白帽责任披露计划向我们报告潜在的漏洞。我们非常认真地对待所有此类报告，以此作为我们为客户提供最佳安全保障的承诺的一部分。迁移指南可帮助客户升级到auth0.js版本9和锁定版本11。如果您有任何问题或反馈，请联系我们。您可以联系您的CSM，打开支持票证，或者在Auth0社区论坛中与我们讨论不推荐使用路线图主题和迁移常见问题解答主题。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；显示：块；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；}.灯箱画廊#上一页，大数据时代的特点，.灯箱画廊#下一个{显示：块；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；宽度：50px；位置：固定；光标：指针；文字装饰：无；z指数：99；右：0；顶部：0；}.灯箱#结束：之后,.灯箱#关闭：之前{位置：绝对；顶部边缘：22px；左边距：14px；内容：""；高度：3px；背景：白色；宽度：23px；-webkit转化来源：50%50%；-moz转化来源：50%50%；-o-转化原点：50%50%；转化来源：50%50%；/*狩猎*/-webkit变换：旋转（-45度）；/*火狐*/-moz变换：旋转（-45度）；/*IE公司*/-ms变换：旋转（-45度）；/*歌剧*/-o变换：旋转（-45度）；}.灯箱#结束：之后{/*狩猎*/-webkit变换：旋转（45度）；/*火狐*/-moz变换：旋转（45度）；/*IE公司*/-ms变换：旋转（45度）；/*歌剧*/-o变换：旋转（45度）；}.灯箱，.灯箱*{-webkit用户选择：无；-moz用户选择：无；-ms用户选择：无；用户选择：无；}函数为_imagelink（url）{const p=/（[a-z\-\u 0-9\/\：\.]*\（jpg | jpeg | png | gif））/i；返回url.match（p） 是吗？真：假；}函数回调（）{常量项内容=document.getElementsByClassName（"js条目内容"）[0]；常量图像=entryContent.querySelectorAll（"img"）；图像.forEach（图像=>{常量url=图像.getAttribute（"src"）；如果（url）{如果（是图像）