OAuth認證存漏洞 小心用戶身份被劫持
責編:admin |2014-08-27 16:48:00與OpenSSL一樣,OAuth(Open Authorization)作為應用廣泛的開源第三方登錄認證協議,今年也爆出了安全漏洞。在第三屆知道安全論壇上,來自新浪微博的藍色di雪球表示新浪早在今年3月就發現了這個漏洞,并從OAuth的發展、OAuth的調用方式、OAuth風險分析以及如何利用OAuth漏洞幾個方面展開了精彩的演講。
OAuth是什么?OAuth協議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。與以往授權方式不同,通過授權團隊可以不使用用戶名密碼,第三方就可以再某網絡獲得數據和信息。
OAuth調用方式有四種,比較常用的有兩種:Authorization Code與Implicit。藍色di雪球表示OAuth調用方式存在信息泄露、CSRF、URL回調污染以及權限認證利用的風險。其中信息泄露包含:Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授權劫持以及綁定劫持。
如何優雅的利用OAuth漏洞?藍色di雪球表示,經用戶授權,與第三方網站綁定,并登錄賬戶后,攻擊者通過構造OAuth回調污染發送私信,實現釣魚誘使用戶點擊URL從而劫持用戶的應用方身份。另外,拿到Access_token可能劫持大V用戶發微博、劫持大量用戶發評論、劫持信任攻擊、刪除指定微博、刷粉、強制關注,甚至獲得商業數據。
由于被第三方廣泛應用和大量歷史遺留問題OAuth漏洞的修復在短時間內難以完成,而針對URL回調污染問題的修復,藍色di雪球建議明確風險,進行日志分析,并檢測全路徑。
最后,藍色di雪球表示未來OAuth可能存在授權濫用以及授權token被拖庫的風險。對此,他建議直接封禁上行權限,封禁應用。