OAuth與OpenID登錄工具曝出重大漏洞
責(zé)編:admin |2014-05-03 12:37:08 幾周前,OpenSSL網(wǎng)站加密工具曝出的“Heartbleed”漏洞,已經(jīng)將整個(gè)互聯(lián)網(wǎng)安全領(lǐng)域震翻了一回。盡管絕大多數(shù)網(wǎng)站都在第一時(shí)間修復(fù)了它,但是一個(gè)新的問(wèn)題又浮出了水面。一名安全研究人員發(fā)現(xiàn)了兩款登錄系統(tǒng)上的重大漏洞,而想要修復(fù)它們,卻比Heartbleed要困難得多。
據(jù)Cnet報(bào)道,新加坡南洋理工大學(xué)一位名叫Wang Jing的博士生,發(fā)現(xiàn)了OAuth和OpenID開(kāi)源登錄工具的“隱蔽重定向”漏洞(Covert Redirect)。
這可導(dǎo)致攻擊者創(chuàng)建一個(gè)使用真實(shí)站點(diǎn)地址的彈出式登錄窗口——而不是使用一個(gè)假的域名——以引誘上網(wǎng)者輸入他們的個(gè)人信息。
鑒于OAuth和OpenID被廣泛用于各大公司——如微軟、Facebook、Google、以及LinkedIn——Wang表示他已經(jīng)向這些公司已經(jīng)了匯報(bào)。
Wang聲稱(chēng),微軟已經(jīng)給出了答復(fù),調(diào)查并證實(shí)該問(wèn)題出在第三方系統(tǒng),而不是該公司的自有站點(diǎn)。
Facebook也表示,“短期內(nèi)仍無(wú)法完成完成這兩個(gè)問(wèn)題的修復(fù)工作,只得迫使每個(gè)應(yīng)用程序平臺(tái)采用白名單”。
至于Google,預(yù)計(jì)該公司會(huì)追蹤OpenID的問(wèn)題;而LinkedIn則聲稱(chēng)它將很快在博客中說(shuō)明這一問(wèn)題。
諷刺的是,微軟、Google、以及其它科技公司,在早幾天才宣布了“資助開(kāi)源安全系統(tǒng)研究,以避免又一個(gè)Heartbleed危機(jī)”的消息。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧