搜索

[8013] 2014-05-07_针对近期“博全球眼球的OAuth漏洞”的分析与防范建议

文档创建者:s7ckTeam
浏览次数:32
最后更新:2025-01-17
2014-05-07_针对近期“博全球眼球的OAuth漏洞”的分析与防范建议 O A u t h f o o y i n g   F r e e B u f   2 0 1 4 - 0 5 - 0 7 C n e t W a n g   J i n g O A u t h O p e n I D ( C o v e r t   R e d i r e c t ) O A u t h     O A u t h O A u t h U R L U R L X S S U R L p a p e r 4   U R L 线 F o o y i n g E r e v u s p a p e r O A u t h   1 . O A u t h 1 . 1 . O A u t h O A u t h A n   o p e n   p r o t o c o l   t o   a l l o w   s e c u r e   a u t h o r i z a t i o n   i n   a   s i m p l e   a n d   s t a n d a r d   m e t h o d   f r o m   w e b   m o b i l e   a n d   d e s k t o p   a p p l i c a t i o n s . O A u t h   i s   a   s i m p l e   w a y   t o   p u b l i s h   a n d   i n t e r a c t   w i t h   p r o t e c t e d   d a t a .   I t ' s   a l s o   a   s a f e r   a n d   m o r e   s e c u r e   w a y   f o r   p e o p l e   t o   g i v e   y o u   a c c e s s .   W e ' v e   k e p t   i t   s i m p l e   t o   s a v e   y o u   t i m e . O A u t h B S W e b 访 A P I O A u t h 访 O A u t h 访 w e i b o Q Q O A u t h O A u t h A P I A P I 使 访 O A u t h O A u t h   t o k e n t o k e n O A u t h O A u t h O A u t h 1 . 2 . O A u t h   2 . 0 O A u t h O A u t h O A u t h   2 . 0 O A u t h   C o r e   1 . 0   2 0 0 7 1 2 4 ( s e s s i o n   f i x a t i o n   a t t a c k ) 2 0 0 9 6 2 4 O A u t h   C o r e   1 . 0   R e v i s i o n   A   2 0 1 0 4 O A u t h R F C   R F C   5 8 4 9 :   T h e   O A u t h   1 . 0   P r o t o c o l O A u t h   2 . 0 2 0 1 0 5 I E T F O A u t h   2 . 0 O A u t h O A u t h   1 . 0   O A u t h   2 . 0 W e b I E T F   O A u t h E r a n   H a m m e r - L a h a v O A u t h 2 0 1 0 O A u t h   2 . 0 H T T P 访 1 . 3 . O A u t h A u t h o r i z a t i o n   C o d e r e s p o n s e _ t y p e = c o d e I m p l i c i t r e s p o n s e _ t y p e = t o k e n A u t h o r i z a t i o n   C o d e I m p l i c i t
2 . O A u t h O p e n I D 2 . 1 . C n e t W a n g   J i n g O A u t h O p e n I D ( C o v e r t   R e d i r e c t ) 使 使 O A u t h O p e n I D 广 F a c e b o o k G o o g l e L i n k e d I n W a n g W a n g F a c e b o o k 使 G o o g l e O p e n I D L i n k e d I n h t t p : / / d i g i . 1 6 3 . c o m / 1 4 / 0 5 0 3 / 0 8 / 9 R A C J B K 9 0 0 1 6 2 O U T . h t m l h t t p : / / w w w . c n e t . c o m / n e w s / s e r i o u s - s e c u r i t y - f l a w - i n - o a u t h - a n d - o p e n i d - d i s c o v e r e d / 2 . 2 .   O A u t h O A u t h O A u t h U R L U R L U R L U R L X S S t o k e n 4 U R L 线 3 .   3 . 1 . O A u t h   2 . 0 U R L 访 O A u t h t o k e n t o k e n O A u t h A P I O A u t h 3 . 1 . 1 .   U R L U R L U R L U R L X S S h t t p : / / p a s s p o r t . x x x x . c n / o a u t h 2 / a u t h o r i z e ? r e s p o n s e _ t y p e = c o d e & r e d i r e c t _ u r i = h t t p : / / w w w . b a i d u . c o m & c l i e n t _ i d = 1 0 0 0 0 & t h e m e = c o r e m a i l 3 . 1 . 2 .   O A u t h U R L
h t t p s : / / a p i . x x x . c o m / o a u t h 2 / a u t h o r i z e ? r e d i r e c t _ u r i = h t t p % 3 A % 2 F % 2 F w w w . k n o w n s e c . o m . w w w . z h i h u . c o m % 2 F o a u t h % 2 F a u t h % 2 F r e q u e s t _ t o k e n % 3 F n e x t % 3 D % 2 5 2 F o a u t h % 2 5 2 F a c c o u n t _ c a l l b a c k & r e s p o n s e _ t y p e = c o d e & c l i e n t _ i d = 3 0 6 3 8 U R L 3 . 1 . 3 .   O A u t h U R L U R L U R L U R L U R L U R L h t t p s : / / a p i . x x x . c o m / o a u t h 2 / a u t h o r i z e ? c l i e n t _ i d = 2 0 4 6 4 9 & r e s p o n s e _ t y p e = t o k e n & r e d i r e c t _ u r i = h t t p % 3 A % 2 f % 2 f p a s s p o r t . x x x x . c o m % 2 f u s e r % 2 f c r o s s d o m a i n % 3 F a c t % 3 D l o g o u t % 2 6 r e t u r n _ u r l % 3 D h t t p % 3 A % 2 f % 2 f w w w . k n o w n s e c . c o m 3 . 1 . 4 .   使 使 s t a t e a c c e s s   t o k e n U R L O A u t h U R L r e d i r e c t _ u r i U R L 3 . 1 . 5 .   1 )   r e d i r e c t _ u r i = h t t p % 3 A % 2 F % 2 F w w w . a . c o m ? w w w . b . c o m 2 )   r e d i r e c t _ u r i = h t t p % 3 A % 2 F % 2 F w w w . a . c o m . w w w . b . c o m 3 )   r e d i r e c t _ u r i = h t t p % 3 A % 2 F % 2 F w w w . a . c o m : @ w w w . b . c o m w w w . a . c o m t o k e n w w w . b . c o m U R L 3 . 2 .   3 . 2 . 1 .   U R L 使 访 3 . 2 . 2 .   A P I
t o k e n t o k e n O A u t h A P I A P I h t t p : / / w i k i . o p e n . q q . c o m / w i k i / A P I % E 5 % 8 8 % 9 7 % E 8 % A 1 % A 8 3 . 2 . 3 .   C S R F C S R F t o k e n 使 t o k e n A P I 4 .   O A u t h   2 . 0 U R L U R L 5 .   5 . 1 .   O A u t h 1 )   r e d i r e c t _ u r i U R L 2 )   s t a t e 3 )   4 )   a c c e s s _ t o k e n A p p   s e c r e t 5 )   U R L 6 )   r e d i r e c t _ u r i 5 . 2 .   U R L 访 U R L 1 )   2 )   访 P D F h t t p : / / b l o g . k n o w n s e c . c o m / w p - c o n t e n t / u p l o a d s / 2 0 1 4 / 0 5 / % E 9 % 9 2 % 8 8 % E 5 % A F % B 9 % E 8 % B F % 9 1 % E 6 % 9 C % 9 F % E 2 % 8 0 % 9 C % E 5 % 8 D % 9 A % E 5 % 8 5 % A 8 % E 7 % 9 0 % 8 3 % E 7 % 9 C % B C % E 7 % 9 0 % 8 3 O A u t h % E 6 % B C % 8 F % E 6 % B 4 % 9 E % E 2 % 8 0 % 9 D % E 7 % 9 A % 8 4 % E 5 % 8 8 % 8 6 % E 6 % 9 E % 9 0 % E 4 % B 8 % 8 E % E 9 % 9 8 % B 2 % E 8 % 8 C % 8 3 % E 5 % B B % B A % E 8 % A E % A E . p d f
h t t p : / / w w w . c n e t . c o m / n e w s / s e r i o u s - s e c u r i t y - f l a w - i n - o a u t h - a n d - o p e n i d - d i s c o v e r e d / h t t p : / / h o m a k o v . b l o g s p o t . c o m / 2 0 1 4 / 0 5 / c o v e r t - r e d i r e c t - f a q . h t m l h t t p : / / d a n n y t h o r p e . c o m / 2 0 1 4 / 0 5 / 0 2 / t e c h - a n a l y s i s - o f - s e r i o u s - s e c u r i t y - f l a w - i n - o a u t h - o p e n i d - d i s c o v e r e d /
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理