安全公告

澳门皇冠投注:OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞的安全公告

2018-01-24 16:28来源:国家互联网应急中心网站作者:点击:


2018年1月21日,国家信息安全漏洞共享平台(CNVD)收到第三方帐户快捷登录授权劫持漏洞(CNVD-C-2018-06621)。利用上述漏洞,攻击者可以登录受害者的帐户,获取存储在第三方移动应用程序中的敏感信息。由于OAuth广泛用于微博等社交网络服务,一旦黑客组织利用漏洞,就可能导致用户隐私信息泄露。

一、漏洞情况分析

OAuth(开放授权)是一种开放式授权网络标准,允许用户授权第三方移动应用程序访问用户在其他服务提供商上存储的信息,而无需向第三方移动应用程序提供用户名和密码或共享数据。所有内容。

该漏洞利用OAuth第三方授权而无需用户名和密码,并结合redirect_uri未指定授权目录来触发用户劫持攻击。攻击者可以登录某个社交网络服务,将链接redirect_uri参数值修改为point,并将伪造的用户授权链接发送给目标用户。当目标用户单击或欺骗访问授权链接以登录时,攻击者可以通过引用者。获取用户授权,快速登录目标用户帐户,登录该帐户绑定的其他网站信息,查看敏感信息或进行授权操作,并使用受害者的账号进行非法信息传播,欺诈等非法活动。

CNVD对上述漏洞的整体评级为“中等风险”。

二、漏洞影响范围

上述漏洞会影响第三方登录授权服务的使用。

三、漏洞修复建议

CNVD建议第三方应用平台采取以下措施来防止漏洞。同时,请注意第三方授权链接并仔细输入帐户密码:

1.注册第三方许可证时,需要将redirect_uri限制在指定网站上的指定目录,例如redirect_uri,注册为passport.aaa.com/oauth/,而不是aaa.com或passport.aaa.com。

2.禁止非源跳跃。通过添加网站跳转的判断条件,禁止跳转到不是网站的链接。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622



上一条:澳门皇冠投注:Drupal核心远程代码执行漏洞的安全公告

下一条:澳门皇冠投注:“魔鼬”木马有关情况的预警通报

关闭