日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

與OpenSSL一樣，OAuth(Open Authorization)作為應(yīng)用廣泛的開源第三方登錄認(rèn)證協(xié)議，今年也爆出了安全漏洞。在第三屆知道安全論壇上，來(lái)自新浪微博的藍(lán)色di雪球表示新浪早在今年3月就發(fā)現(xiàn)了這個(gè)漏洞，并從OAuth的發(fā)展、OAuth的調(diào)用方式、OAuth風(fēng)險(xiǎn)分析以及如何利用OAuth漏洞幾個(gè)方面展開了精彩的演講。

成都網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、成都網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)成都定制網(wǎng)站等服務(wù)項(xiàng)目。核心團(tuán)隊(duì)均擁有互聯(lián)網(wǎng)行業(yè)多年經(jīng)驗(yàn)，服務(wù)眾多知名企業(yè)客戶；涵蓋的客戶類型包括：混凝土泵車等眾多領(lǐng)域，積累了大量豐富的經(jīng)驗(yàn)，同時(shí)也獲得了客戶的一致表?yè)P(yáng)！

OAuth是什么?OAuth協(xié)議為用戶資源的授權(quán)提供了一個(gè)安全的、開放而又簡(jiǎn)易的標(biāo)準(zhǔn)。與以往授權(quán)方式不同，通過(guò)授權(quán)團(tuán)隊(duì)可以不使用用戶名密碼，第三方就可以再某網(wǎng)絡(luò)獲得數(shù)據(jù)和信息。

OAuth調(diào)用方式有四種，比較常用的有兩種：Authorization Code與Implicit。藍(lán)色di雪球表示OAuth調(diào)用方式存在信息泄露、CSRF、URL回調(diào)污染以及權(quán)限認(rèn)證利用的風(fēng)險(xiǎn)。其中信息泄露包含：Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授權(quán)劫持以及綁定劫持。

如何優(yōu)雅的利用OAuth漏洞?藍(lán)色di雪球表示，經(jīng)用戶授權(quán)，與第三方網(wǎng)站綁定，并登錄賬戶后，攻擊者通過(guò)構(gòu)造OAuth回調(diào)污染發(fā)送私信，實(shí)現(xiàn)釣魚誘使用戶點(diǎn)擊URL從而劫持用戶的應(yīng)用方身份。另外，拿到Access_token可能劫持大V用戶發(fā)微博、劫持大量用戶發(fā)評(píng)論、劫持信任攻擊、刪除指定微博、刷粉、強(qiáng)制關(guān)注，甚至獲得商業(yè)數(shù)據(jù)。

由于被第三方廣泛應(yīng)用和大量歷史遺留問(wèn)題OAuth漏洞的修復(fù)在短時(shí)間內(nèi)難以完成，而針對(duì)URL回調(diào)污染問(wèn)題的修復(fù)，藍(lán)色di雪球建議明確風(fēng)險(xiǎn)，進(jìn)行日志分析，并檢測(cè)全路徑。

最后，藍(lán)色di雪球表示未來(lái)OAuth可能存在授權(quán)濫用以及授權(quán)token被拖庫(kù)的風(fēng)險(xiǎn)。對(duì)此，他建議直接封禁上行權(quán)限，封禁應(yīng)用。

當(dāng)前題目：OAuth認(rèn)證存漏洞小心用戶身份被劫持
文章來(lái)源：http://www.5511xx.com/article/dhhpoos.html