我们有一些印象是重新播放“ Heart Bleded”情节:发现安全性巨型,令人震惊的物品,一个不错的徽标。但是显然,我们远离帐户。几天前,来自新加坡南洋大学的一名学生Jing Wang出版了他的发现。他掌握了影响所有主要网络播放器的脆弱性:Facebook,Google,Yahoo,LinkedIn,Microsoft,PayPal,等。
他给他起了“秘密重定向”的名字,并创建了网站他在详细说明他的剥削的地方,同时指定这将是“很难修补”。该故事立即被美国网站CNET与著名的漏洞Openssl进行了比较。从那以后,她一直在网络上。
用篡改的URL捕获用户
这是什么? Jing Wang分析了Web播放器在第三方网站或应用程序上使用用户身份验证用户的机制。这种设备非常普遍,因为它允许您在使用少量标识符的同时连接到大量的在线服务。这种类型的服务在Facebook上,在Twitter和Google等上称为“连接”,登录。它基于OpenID或OAuth 2.0协议。
但是,事实证明,可以将真实服务与第三方供应商之间的交流进行黑客攻击。使用精心篡改的URL,网络犯罪分子可以从用户中恢复一系列个人数据,甚至可以访问其帐户。
但是几天后,几位安全专家开始把嘿放在上面。为了Symantec,这个缺陷不是“绝对不是”与Heartbleed相当。这涉及世界上近十亿个网站,可以通过服务器的直接请求来操作。“另一方面,通过秘密重定向,攻击者必须找到一个脆弱的[第三]应用程序,并引起与用户的互动”诱捕他。这仍然限制了风险。
就安全专家而言丹尼·索普(Danny Thorpe)- 还分析了这一缺陷 - 消除风险并不那么复杂:第三方服务提供商正确地实施OpenID和OAuth 2.0协议,尊重一定数量的保障措施(例如,在身份验证过程中不受控制的HTML重定向不授权)。在一条推文中,他认为有关网站代表“不到网络的1%”。
意见约翰·布拉德利(John Bradley),另一位参与OpenID创建的安全专家更加严厉。“我找不到任何新的东西。这是一个众所周知的攻击,每个人都设法装饰好了,除了Facebook(…)我希望Jing Wang对他的名人的时刻兴奋不已,但我对他所做的工作没有任何认可”。他解释说。
简而言之,Jing Wang搭了外套...
另请阅读:
Google着手进行身份服务之战,2013年2月28日
