压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最大的網(wǎng)絡(luò)身份驗(yàn)證平臺(tái)Auth0中發(fā)現(xiàn)了一個(gè)嚴(yán)重身份驗(yàn)證繞過漏洞，該漏洞可能允許惡意攻擊者訪問任何使用Auth0服務(wù)進(jìn)行身份驗(yàn)證的門戶或應(yīng)用程序。

Auth0為許多平臺(tái)提供基于令牌的身份驗(yàn)證解決方案，包括將社交媒體身份驗(yàn)證集成到應(yīng)用程序中的能力。

擁有超過2000家企業(yè)客戶，每天管理4200萬登錄信息和每月數(shù)十億次登錄，Auth0是最大的身份平臺(tái)之一。

2017年9月，安全公司Cinta Infinita的研究人員在驗(yàn)證應(yīng)用程序時(shí)發(fā)現(xiàn)Auth0的Legacy Lock API中存在一個(gè)漏洞（CVE-2018-6873），該漏洞由于對(duì)JSON Web Tokens（JWT）受眾參數(shù)的不正確驗(yàn)證而存在。

研究人員成功利用此問題繞過Auth0身份驗(yàn)證運(yùn)行的應(yīng)用程序使用簡(jiǎn)單的跨站點(diǎn)請(qǐng)求偽造（CSRF / XSRF）攻擊繞過登錄身份驗(yàn)證。

Auth0的CSRF漏洞（CVE-2018-6874）允許攻擊者重新使用為單獨(dú)帳戶生成的有效簽名JWT訪問目標(biāo)受害者的帳戶。

為此，攻擊者需要的是受害者的用戶ID或電子郵件地址，可以使用簡(jiǎn)單的社會(huì)工程技巧獲得。

據(jù)研究人員稱，這種攻擊對(duì)于許多組織來說是可重現(xiàn)的，“只要我們知道JWT的預(yù)期領(lǐng)域和價(jià)值，在我們看到的大多數(shù)案例中就沒有必要進(jìn)行社會(huì)工程了。地址或用于用戶標(biāo)識(shí)的遞增整數(shù)將被平分繞過。

該安全公司在2017年10月報(bào)告了Auth0安全小組的漏洞。該公司行事非常迅速，并在不到4個(gè)小時(shí)內(nèi)解決了這一弱點(diǎn)。

但是，由于脆弱的SDK和支持的Auth0庫(kù)已經(jīng)在客戶端實(shí)現(xiàn)，所以Auth0在公開披露此問題之前花費(fèi)了近6個(gè)月的時(shí)間聯(lián)系每位客戶并幫助他們修復(fù)此漏洞。

“與Cinta Infinita發(fā)現(xiàn)的特殊案例的修復(fù)不同，這個(gè)問題不能在不強(qiáng)迫我們的客戶升級(jí)庫(kù)/ SDK的情況下完成，這是一項(xiàng)更重要的任務(wù)，”Auth0團(tuán)隊(duì)在其咨詢中表示。

該公司通過大量重寫受影響的庫(kù)并發(fā)布其新版本的SDK（auth0.js 9和Lock 11）來減輕漏洞。

Cinta Infinita在公開披露漏洞之前還等了六個(gè)月，Auth0團(tuán)隊(duì)也有足夠的時(shí)間更新所有私有SaaS設(shè)備（內(nèi)部部署）。

該安全公司現(xiàn)已發(fā)布了概念驗(yàn)證（PoC）視頻，演示了如何通過偽造身份驗(yàn)證令牌登錄到Auth0的管理儀表板時(shí)獲得受害者的用戶ID并繞過密碼驗(yàn)證。

原文：https://thehackernews.com/2018/04/auth0-authentication-bypass.html