当前位置:首页 >> 数码

互聯網最大規模帳號劫持漏洞即將引爆1

时间:2020-01-16   浏览:0次

  互联最大规模帐号劫持漏洞即将引爆

  笔者与近日从国内资深互联应用安全提供商知道创宇安全研究团队处得悉,目前有一项严重危害用户隐私的漏洞刚刚被发现,包括旅游,招聘,娱乐,SNS交友,各大电商等各类站均会被影响经知道创宇安全研究团队测试,该安全漏洞在国内使用第三方登录机制的站中普遍存在,甚至知名的安全厂商360的站平台以及360浏览器也存在这个问题由于此类攻击不受同源策略等浏览器的安全限制,且不易被目标发现,因此危害严重一旦被利用,用户的帐号会被永久劫持,账户信息会被任意浏览和改动由于之前出现过关联类漏洞,疑似已经有攻击者开始利用这个漏洞进行实际攻击,请广大民确认自身账号信息是否已遭恶意劫持,及时采取措施保护自身账号

  经知道创宇安全研究团队确认,此漏洞是由于开发人员没有正确按照OAuth2授权机制的开发文档使用OAuth2,导致攻击者能够实施跨站请求伪造(CSRF)通过第三方站来劫持用户在目标站的账户

  劫持流程:

  虚拟测试:

  攻击者想通过自己的微博劫持并登录受害人的账户

  如上图所示,正常的授权流程,用户点击授权后便不再可控,剩下的工作由第三方应用和授权服务器(资源提供方)进行交互来完成而攻击者可以阻止授权流程的正常进行,将中间的关键URL截取下来,诱骗用户访问,成功后可以将受害人的账户绑定到攻击者的微博账户上此后,攻击者可以使用微博的账户自由登入受害人的主站账户及浏览器账户,任意查看和修改用户的隐私数据

  受到OAuth2 CSRF漏洞影响的部分站列表(测试后):

  安全厂商:360站 360浏览器

  it媒体:CSDN 中关村

  团购:糯米团购

  资讯:果壳

  购物分享:蘑菇街

  电商:聚美优品

  视频:优酷 乐视 CNTV

  招聘:大街

  婚介:百合

  轻博客:点点

  SNS :开心

  知道创宇安全研究团队对于OAuth2 CSRF漏洞防御,建议如下:

  1)对于开发人员:

  1,授权过程中传递state随机哈希值,并在服务端进行判断

  2,在绑定过程中,应强制用户重新输入用户名密码确认绑定,不要直接读取当前用户session进行绑定

  3,限制带有Authorization code参数的请求仅能使用一次(避免重放攻击)

  4,推荐使用Authorization Code方式进行授权,而不要使用Implicit Flow方式这样access token会从授权服务器以响应体的形式返回而不会暴露在客户端

  2)对于普通用户:

  定期查看重要站的第三方帐号绑定页面,检查是否有陌生的其他帐号绑定到自身账户,如果发现应立即取消绑定或授权

  关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容

  特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容本站不承担此类作品侵权行为的直接及连带如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕

冠心病心绞痛的饮食
宝宝挑食怎么办
孩子消化不好怎么调理
相关阅读
福田开关插座入选中国好产品联合招商大会
· 尽管对能源转型野心勃勃

尽管对能源转型野心勃勃,德国是否正在建造新煤电厂来取代核电?许多观察者如此下结论。但一份深入探讨的研究显示再生能源在过去十年内的成长比...

友情链接