OAuth认证存漏洞 小心用户身份被劫持

原创
安全 漏洞
在第三届知道安全论坛上,来自新浪微博的蓝色di雪球表示新浪早在今年3月就发现了这个漏洞,并从OAuth的发展、OAuth的调用方式、OAuth风险分析以及如何利用OAuth漏洞几个方面展开了精彩的演讲。

与OpenSSL一样,OAuth(Open Authorization)作为应用广泛的开源第三方登录认证协议,今年也爆出了安全漏洞。在第三届知道安全论坛上,来自新浪微博的蓝色di雪球表示新浪早在今年3月就发现了这个漏洞,并从OAuth的发展、OAuth的调用方式、OAuth风险分析以及如何利用OAuth漏洞几个方面展开了精彩的演讲。

OAuth认证存漏洞 小心用户身份被劫持

OAuth是什么?OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往授权方式不同,通过授权团队可以不使用用户名密码,第三方就可以再某网络获得数据和信息。

OAuth调用方式有四种,比较常用的有两种:Authorization Code与Implicit。蓝色di雪球表示OAuth调用方式存在信息泄露、CSRF、URL回调污染以及权限认证利用的风险。其中信息泄露包含:Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授权劫持以及绑定劫持。

如何优雅的利用OAuth漏洞?蓝色di雪球表示,经用户授权,与第三方网站绑定,并登录账户后,攻击者通过构造OAuth回调污染发送私信,实现钓鱼诱使用户点击URL从而劫持用户的应用方身份。另外,拿到Access_token可能劫持大V用户发微博、劫持大量用户发评论、劫持信任攻击、删除指定微博、刷粉、强制关注,甚至获得商业数据。

由于被第三方广泛应用和大量历史遗留问题OAuth漏洞的修复在短时间内难以完成,而针对URL回调污染问题的修复,蓝色di雪球建议明确风险,进行日志分析,并检测全路径。

最后,蓝色di雪球表示未来OAuth可能存在授权滥用以及授权token被拖库的风险。对此,他建议直接封禁上行权限,封禁应用。

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2021-03-04 14:55:50

微软漏洞黑客

2021-10-19 15:52:58

Tor站点劫持REvil

2021-03-03 07:20:57

Linux

2022-08-02 15:05:58

安全帐户劫持数据

2015-07-16 10:49:56

2014-08-06 11:24:24

Elasticsear劫持挂马

2014-09-09 16:44:16

2009-05-14 09:36:19

2014-05-29 11:16:49

2019-02-28 07:58:57

路由器攻击病毒

2021-02-09 00:51:30

恶意软件黑客网络攻击

2020-07-24 10:35:50

量子芯片互联网

2015-08-17 11:02:48

物联网

2015-05-13 11:14:53

2024-02-29 16:27:09

2009-07-14 10:12:24

2023-06-26 15:20:47

2021-11-05 10:42:28

网络安全数据攻击

2019-05-22 17:55:36

浏览器 Chrome Google

2021-09-17 09:00:00

安全身份认证OAuth 2.0
点赞
收藏

51CTO技术栈公众号