针对近期「博全球眼球OAuth 漏洞」的分析与防范建议

作者:Fooying,


据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

突然间这个漏洞似乎就火了,这几天一直在研究这个漏洞以及各种猥琐的利用。

来看看各种猥琐的利用:





再回过头来说说这个漏洞:

看网上一大堆媒体报道都说继OpenSSL之后又一开源协议爆出漏洞,不得不进行下纠正,跟之前OpenSSL问题一样,之前的问题不是出在SSL协议,而这次的问题同样不是出现在OAuth 协议本身。

首先需要明确的一点是,漏洞不是出现在OAuth 这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格参照官方文档,只是实现了简版。 问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL,甚至在对回调URL进行了校验的情况可以被绕过。利用这种URL跳转或XSS漏洞,可以获取到相关授权token,危害到目标用户的账号权限。具体欢迎阅读paper。

微博安全团队4 月中旬已经率先发现该问题,并联合业务部门进行威胁的评估和落地修复方案的敲定,截止今天中午前,回调URL校验和校验绕过漏洞在开放平台已经修复上线。

来看看来自知道创宇安全研究团队,本人与Erevus同学执笔的paper把,针对近期“博全球眼球OAuth漏洞”的分析与防范建议 。感谢来自微博安全团队同学的帮助。


传送门:
http://http://blog.knownsec.com/2014/05/oauth_vulnerability_analysis/


----------------------------------

Fooying,关注安全与开发

欢迎关注微信公众号:oxsafe

也可以加入0xsafe交流群 141278838进行交流

微博或者知乎搜索:fooying都可以找到我,微信搜索:oxsafe

感谢关注,如果觉得文章不错就分享下



———————————————

发自知乎专栏「
微信公众号:oxsafe by Fooying

当前:

互联网安全

知乎日报

足球动漫设计大公司开始游戏财经电影音乐

上一篇:OAuth 漏洞预警:黄继新,你的帐号被黑啦

下一篇:有关网络攻击的世界地图是怎么开发的?比如ZoomEye经常有一些这样很酷的地图

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)