感觉有点像我们正在重温“Heartbleed”事件:发现了一个巨大的安全漏洞,令人震惊的文章,一个漂亮的标志。但显然,我们离目标还很远。日前,新加坡南洋大学学生王静发表了他的伟大发现。他发现了一个影响所有主要网络参与者的漏洞:Facebook、谷歌、雅虎、LinkedIn、微软、Paypal 等。
他将其命名为“隐蔽重定向”并创建了一个网站他详细描述了他的剥削,同时指出这将是“修补困难”。这个故事立即被美国网站 Cnet 转载,并将其与著名的 OpenSSL 缺陷进行了比较。从那时起,它就一直在网络上流传。
通过修改 URL 来欺骗用户
这是关于什么的? Jing Wang 分析了网络参与者在第三方网站或应用程序上对用户进行身份验证的机制。这种类型的设备非常普遍,因为它允许您在使用少量标识符的情况下连接到大量在线服务。这种类型的服务在 Facebook 称为“Connect”,在 Twitter 和 Google 称为“Sign-In”等。它依赖于 OpenID 或 OAuth 2.0 协议。
然而,事实证明,身份验证器服务和第三方提供商之间的交换可能会被黑客攻击。通过使用精心设计的 URL,网络犯罪分子可以从用户那里恢复一系列个人数据,甚至获得对其帐户的访问权限。
但几天后,几位安全专家开始反对它。为了赛门铁克,这个缺陷不是“绝对不是”与《心血》相当。这涉及全球近 5 亿个网站,并且可以通过向服务器直接请求来利用。“另一方面,通过隐蔽重定向,攻击者必须找到易受攻击的[第三方]应用程序并启动与用户的交互”来困住他。这仍然限制了风险。
就安全专家而言丹尼·索普– 他也分析了这个缺陷 – 认为消除风险并不那么复杂:第三方服务提供商正确实施 OpenID 和 OAuth 2.0 协议就足够了,尊重一定数量的安全措施(例如不允许不受控制的 HTML在身份验证过程中重定向)。他在推文中估计,相关网站代表了“不到 1% 的网络”。
的意见约翰·布拉德利另一位帮助创建 OpenID 的安全专家的言论更加严厉。“我在这一切中没有发现任何新东西。这是一种众所周知的攻击,每个人都能很好地抵御,也许 Facebook 除外(……)我希望王靖能享受他在这个话题上让人们兴奋的成名时刻,但我不会给予他任何认可。为了他所做的工作”,他解释道。
总之,靖王好像拿了件外套……
另请阅读:
谷歌加入身份识别服务之战,于 28/02/2013
