单击单击帐户收购可以通过利用Oauth中的怪癖来实现
安全研究人员发现,可以通过滥用OAUTH流程流量来执行劫持单击帐户。
Oauth也被称为开放身份验证,是管理身份并在第三方服务上保护在线领域的框架。而不是利用帐户用户名和密码例如,服务提供商可以利用OAuth提供临时和安全的访问令牌。
但是,在某些情况下,攻击者可以滥用OAuth实施来窃取这些令牌并执行一键式帐户劫持。
贴面舞
7月6日,Destectify的安全顾问FransRosén引导我们进行了几个潜在的攻击向量以及如何如何组织可以减轻妥协的风险。
玫瑰描述这些情况作为“肮脏的跳舞”。Attackers can abuse OAuth ‘dances’ – their authentication processes and how they manage communication between a browser and service provider – by combining response-type switching, invalid states, and redirect URI programming “quirks” to steal user information such as authorization codes or tokens.
推荐的Node.js修复了可能导致RCE的多个错误,HTTP请求走私
近年来,包括Google和Mozilla在内的浏览器开发人员都在努力破坏任何潜在的途径跨原生素引用器泄漏和跨站脚本(XSS)攻击。
但是,正如Miter最新的2022年共同弱点(CWE)中强调的那样,前25位最危险的软件弱点列表,在6月底公开,这些攻击仍然很普遍,对全球用户构成威胁。
滥用登录流程
浏览器为beplay维护得多久降低这些攻击风险而实施的解决方案包括内容安全策略((CSP)和受信任的类型,这些类型允许软件拒绝可能导致的数据值DOM XSS和凭证劫持。
但是,研究人员说,Oauth的登录流程(包括Slack,Facebook和Twitter)在内的公司使用的登录流量可能会“破坏”同样的影响。
考虑到这些类型的攻击并不容易执行,正如Rosén所说,涉及对源代码的检查以及对Oauth的舞蹈工作的了解。
打破链条
要窃取令牌,攻击者必须首先打破发行令牌的系统与消耗它们的服务提供商之间的链条。
这可以通过通过特殊精心设计的链接更改使用的状态价值来实现,该链接将其发送给潜在的受害者作为登录页面,但使用攻击者的有效状态。
一旦受害者登录并将其重定向回到网站,“舞蹈”就会中断,因为对用户没有有效的状态。beplay体育能用吗然后,将向用户显示一条错误消息,如果攻击者能够从错误页面中泄漏数据和URL,研究人员说,威胁行为者“现在可以使用自己的状态登录,并且该代码从受害者身上泄漏”。
尽管很难改变这些途径,但也可能使用响应类型,响应模式切换和重定向-URI路径滥用的响应类型,响应模式切换和重定向-URI路径滥用。
“在使用代码的适当的OAuth-Dance中,在最后一步中,从服务提供商那里获取访问令牌redirect_uri还必须提供对服务提供商的验证。”Rosén解释说。
“如果是redirect_uri舞蹈中使用的是使网站发送给提供商的价值不匹配,不会发出访问令牌。”beplay体育能用吗
一键式劫持
研究人员测试了不同的攻击方法,并获得了一键式劫持。5月12日,报道了一项涉及Apple Oauth登录的利用。
攻击者还可以利用其他怪癖来妥协OAuth并抓住泄漏的URL。其中包括对第三方域进行XSS攻击,该域在身份验证过程中接收URL数据并滥用用于获取URL的API。例如,没有足够的原点检查的域可能有剥削的风险。
Rosén说:“由于每个OAuth提供商都允许许多不同的响应类型和模式,因此网站涵盖所有不同的情况变得非常棘手。”beplay体育能用吗
为了减轻攻击风险,研究人员建议审查OAuth 2.0安全最佳当前实践指南,请确保为OAuth的授权响应呈现的页面不包含第三方资源或链接,并且用户还应仅考虑允许有限的OAuth响应类型和模式。
“您今天可能不会使用任何脆弱的第三方脚本,但是如果您组织中的任何人通过Google Tag Manager或类似内容介绍新事物,或者如果第三方脚本更改,则可以防止任何未来的潜在标记泄漏,”Rosén评论说。。
