超脑黑客吧 关注:185,263贴子:766,224
  • 1回复贴,共1

转贴:针对近期"博全球眼球的OAuth漏洞"的分析与防范建议-黑客

只看楼主收藏回复

针对近期“博全球眼球的OAuth漏洞”的分析与防范建议
fooying @ 漏洞 2014-05-07 共 3408 人围观,发现 9 个不明物体 收藏该文
据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。
首先需要明确的一点是,漏洞不是出现在OAuth 这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格参照官方文档,只是实现了简版。 问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL,就可以导致跳转、XSS等问题,甚至在对回调URL进行了校验的情况可以被绕过,具体将在附件中的paper中阐述。
微博安全团队4 月中旬已经率先发现该问题,并联合业务部门进行威胁的评估和落地修复方案的敲定,截止今天中午前,回调URL校验和校验绕过漏洞在开放平台已经修复上线。
来看看来自知道创宇安全研究团队Fooying与Erevus同学执笔的paper吧,针对近期“博全球眼球的OAuth漏洞”的分析与防范建议 。
鸣谢来自微博安全团队同学的帮助。


好吧,震惊


回复
举报|来自Android客户端2楼2014-05-08 16:35
    百度小说人气榜

    扫二维码下载贴吧客户端

    下载贴吧APP
    看高清直播、视频!

    推荐应用