ተጋላጭነቶች ኦካሩ | በድረ-መተግበሪያዎ ውስጥ ደህንነቱ የተጠበቀ ፈቃድ እንዴት እንደሚተገበሩ

ይህ የጥናት ርዕስ በጣም ከሚታወቁ የኦያስቱ ተጋላጭነቶች ጋር ያብራራል. አንባቢዎች በድር ትግበራ ውስጥ ደህንነቱ የተጠበቀ እና ደህንነቱ የተጠበቀ ፈቃድ እንዴት እንደሚተገበሩ ይማራሉ.

ኦውቱ አስተማማኝ ፕሮቶኮክ ነው, ግን የደኅንነት ደረጃ በዋናነት ሲተገበሩ በድር ገንቢዎች ግንዛቤ ላይ የተመሠረተ ነው. ይህ መረጃ ለመረጃ ደህንነት ባለሞያዎች እጅግ አስፈላጊ ያደርገዋል. ስለ ተጠቃሚዎቻቸው የመገጣጠም ከፍተኛ ደረጃን መስጠት አለባቸው. የኦውቱን የመሸጥ አደጋን ለመቀነስ የሚረዳቸውን ውጤታማ ባለሙያዎች ለመተዋወቅ ጊዜው አሁን ነው.

መግቢያ

ኦውቱ 2.0 ፕሮቶኮል በአሁኑ ጊዜ በተለያዩ መተግበሪያዎች ውስጥ በሰፊው ጥቅም ላይ ይውላል. እሱን በመጠቀም ምቹ የተጠቃሚ በይነገጽ ይገኛል, ቀላል ማረጋገጫ እና ፈቃድ የተሰጠው የተጠቃሚ ስም እና የይለፍ ቃል ለማስገባት ከተለመዱት ዘዴዎች ጋር ሲነፃፀር. በተገቢው እና በአግባቡ አተገባበር, የ OAUH ፕሮቶኮል የተካሄደውን የመረጃ ምንጭ ለማግኘት ከሶስተኛ ወገን መተግበሪያ ጋር በሶስተኛ ወገን መተግበሪያ ማካፈል ስለሌለባቸው ከባህላዊ ፈቃድ ደህንነቱ የተጠበቀ ይሆናል. በተወሰኑ ድር ጣቢያ ላይ መመዝገብ በሚፈልጉበት ጊዜ ሁሉ የ Google መለያዎቻቸውን, ፌስቡክ ወይም የፌስቡክ ወይም የጆርኪኒን ቋንቋዎችን ከመፍጠር ይልቅ በመለያ ለመግባት ይመርጣሉ. ስለሆነም የኦክ to ፔል ፕሮቶኮል ሕይወታችንን ቀለል አድርጎ ቀጥሏል.

በአጠቃላይ ታዋቂ የኦናቴ አገልግሎት አቅራቢዎች በጣም አስተማማኝ ናቸው. በ Google ወይም በፌስቡክ መለያ ይግቡ አንድ የደህንነትን ስሜት ያበረታታል, እናም ትክክል ነው. ፕሮቶኮሉ በጥንቃቄ በባለሙያዎች ተፈትኗል. ሁሉም የተጋለጡ ተጋላጭነቶች ሁል ጊዜ በገንቢ ቡድኑ በፍጥነት ይሰራቸዋል. ሆኖም, የተሟላ ደህንነት ስሜት ሐሰት ሊሆን እንደሚችል ልብ ሊባል ይገባል.

የኦውቱ አገልግሎት አቅራቢዎች ትግበራዎች የፕሮግራሞቻቸውን ደህንነት ለማሟላት ብዙ ምክንያቶች ገንቢዎች ናቸው. በእውነቱ, በመጀመሪያ የኦሃው አገልግሎት ጥበቃ በማድረጉ ላይ በተሳሳተ መንገድ የተተገበረ, ለአስቂኝ ወኪሎች ቀላል are ላማ ሊሆን ይችላል. እንዲህ ያለው ድቅድቅና እርምጃ ወደ ተጠቃሚዎች የግል መረጃዎች ስርቆት ይመራቸዋል.

ቀጥሎም ተጠቃሚዎቻቸውን እንዲፈቅድ ለማድረግ በሦስተኛ ወገን መተግበሪያዎች ውስጥ የተጋለጡትን በጣም የተለመዱ ተጋላጭነቶች ከግምት ውስጥ ማስገባት አለብዎት. ፕሮቶኮሉ ራሱ ደህና እና አስተማማኝ መሆኑን ማስታወስ አለበት. የተሳሳተ ትግበራ ብቻ, ለጠላፊ ጥቃቶች ተጋላጭ ይሆናል.

የፈጠራውን አርዕስት በመጠቀም የኦክ tockey Core ስርቆት

ማመልከቻው በተጠቃሚው አገልጋይ ላይ በተጠቃሚው በመወከል ፈቃድ ሲጠየቁ, አንድ ሰው ለሚቀጥሉት ቼክ ወደ አገልጋዩ ተመልሶ ወደ አገልጋዩ ለመመለስ ኮዱን ይቀበላል. በስራው ወቅት ተጠቃሚው ወደ ሌላ ገጽ ከተቀየረ, "በኤችቲቲክ ጥያቄው" በተዘበራረቀ "ራስጌው ውስጥ ይታያል. ስለዚህ, በኮዱ ውስጥ የተመዘገበውን የተጠቃሚ ውሂብ አደጋ ላይ በሚጥል ውጫዊ ድር ጣቢያ ላይ ይወድቃል.

ማሳሰቢያ-የተደነገገው ፈራጅ ርዕሰ ጉዳይ የኤች ቲ ቲ ፒ ጥያቄ ሪያር ነው, እሱ ጥያቄው ከተጠየቀበት የዩ.አር.ኤል ሰራተኞቹን ያስተላልፋል.

የዚህ ተጋላጭነት ውጤቶችን ለማስተካከል ገንቢው ድር ጣቢያው ምንም የ HTML መርፌዎችን እንደማይይዝ ማረጋገጥ አለበት. መርማሪዎቹ ከተገኙ አጥቂው የምስል መለያውን በቀላሉ ወደ ድር አገልጋይው በቀላሉ ሊያዋቅሩ እና ተጠቃሚውን በላዩ ላይ የሚያዞር መንገድ ይፈልጉ. ስለሆነም ከ "ማጣቀሻ" አርዕስት ውስጥ ኮዱን ለማሰር እድል ይቀበላል.

Oout tockey Keckey Stifty Modies_uri ግቤት በመጠቀም

ትግበራ ወደ ኦአቱ አገልጋይ የመጠየቂያ አገልጋይ በመላክ ፈቃድ መስጫ ሂደቱን ይጀምራል-

https://www.exaptin.com/signin/aighin/ahumhize/aryin/aindive_urik=hirect_urypps://domo.examuct.com/lodsucual.

መጠይቁ ተጠቃሚው ፈቃዱን ከተሰጠ በኋላ ወደ ማመልከቻው ለመላክ የ Onhirect_ireck_ire_ire_uri "ን ያካሂዳል. የዚህ ግቤት ዋጋ ካልተቆጣጠረ ወይም ካልተረጋገጠ ጥያቄው በቀላሉ ሊለውጠው እና ለተገቢው ሀብት ለማካሄድ ልዩ ፕሮግራም የሚጠቀምበትን ድር ጣቢያውን የሚጠቀምበት ቦታን ይለውጣል.

https://www.exaxtin.com/signin/aughin/aightin/aightine/arynclode_urik=hirect_iuryps:/locolyhost.eovil.com.

አንዳንድ ጊዜ ተመሳሳይ ዩአርኤሎች ታግደዋል. አጥቂው እንደዚሁ ክፍት ዩ.አር.ኤል. ላይ የተቀበለውን ውሂብ መዞር ይችላል

https://www.exaxt.com/oauth.com/oauth?

ወይም ይህ:

https://www.exax2az2/utouth2/ututehozhes? [...]% ITENE_URI = https% 3A% 2f% 2f% 2fapps.foapps.com% 2faptsbook% 2f 2f.

ኦሃንን ሲተገበሩ በነጭ ዝርዝር ውስጥ ሙሉ ጎራዎችን ማካተት አይችሉም. ወደ "Redirect_uri" ሊዛወሩ የሚገቡት የተወሰኑ ዩ.አር.ኤል.ዎች ብቻ አይጨምሩም.

የመስመር መስመር ጥያቄዎች

ተጎጂው አገናኙን ጠቅ በማድረግ አንድ ሰው አገናኙን ጠቅ በማድረግ አንድ ሰው እንዲያስቀምጥ ለማድረግ አንድ የአካባቢያዊ ጥያቄ ትዕግስት ሊከሰት ይችላል. የመስመር ላይ ጥያቄዎች ጥያቄዎች ብዙውን ጊዜ ከተጠቃሚው ክፍለ ጊዜ ጋር በተቆራኘ የ CSRF ማስመሰያ ይጣላል. ጥያቄውን የላከውን ሰው ሰው ለመመልከት ትግበራ ይረዳል. በኦውቱ ፕሮቶኮል ውስጥ "የስቴቱ" ግቤት እንደ ሲሲኤፍ ማስመሰያ ሆኖ ያገለግላል.

የ CSRF ጥቃት በኦውቱ ላይ እንዴት እንደሚከናወን መመልከቱ እና የተጋለጠው የተጋላጭነት ውጤቶችን ለማስለቀቅ ሊያገለግል ይችላል.

ጠላፊ የድር መተግበሪያን ይከፍታል እና የአገልግሎት ሰጪውን ኦውትን በመጠቀም ለመድረስ ፈቃድ መስጫ ሂደቱን ይጀምራል. ትግበራው የሚቀርብ አገልግሎት ሰጭውን እንዲሰጥ ይጠይቃል. ጠላፊ ለአገልግሎት ሰጪው ድር ጣቢያ ተዛወረ, ይህም አብዛኛውን ጊዜ ተደራሽነትዎን ለመድረስ የተጠቃሚ ስምዎን እና የይለፍ ቃልዎን ማስገባት ያስፈልግዎታል. በምትኩ, ጠላፊው ይህንን ጥያቄ ይከላከላል እና ያቆማል ዩ አር ኤል ያድናል. ጠላፊ በሆነ መንገድ ተጎጂው ይህንን ዩአርኤል እንዲከፍት ያደርገዋል. ተጎጂው አካውንቱን በመጠቀም ወደ አገልግሎት ሰጪው ስርዓት ከገባ, ከዚያ ማረጋገጫዎቹ የፍቃድ ኮድ ለማውጣት ያገለግላሉ. የመዳረሻ ማስመሰያ የምስጋና የምስክር ወረቀቱ መዳረሻን መልሶ ያወጣል. አሁን በማመልከቻው ውስጥ ያለው ጠላፊ መለያ ተፈቅ .ል. የተጎጂውን መለያ ሊደርስበት ይችላል.

ስለዚህ, "የስቴቱ" ግቤትን በመጠቀም ይህንን ሁኔታ እንዴት መከላከል እችላለሁ?

ትግበራው በሚፈጠረው የመረጃ መለያ (ለምሳሌ, የተጠቃሚውን ሃሽሽ ቁልፍን በመመርኮዝ) ተግባራዊ የሆነ እሴት መፍጠር አለበት. እሱ ምን እንደ ሆነ በጣም አስፈላጊ አይደለም, ዋናው ነገር ደግሞ ስለ ዋናው ተጠቃሚ የግል መረጃን በመጠቀም ልዩ እና የመነጨ ነው. ወደ "ሁኔታ" ግቤት ተመድቧል.

ይህ እሴት በሚዛመድበት ጊዜ ይህ እሴት ወደ አገልግሎት ሰጪው ይተላለፋል. አሁን ጠላፊው ተጎጂው ዩአርኤል እንዲከፍቱ ይጋብዛል.

ፈቃድ መስጫ ኮድ የተሰጠው ከ "ግዛት" ግቤቶች ጋር ወደ ደንበኛው ይመለሳል.

ደንበኛው በአንድ ክፍለ ጊዜ መረጃ ላይ በመመርኮዝ የመለኪያ እሴት ያስወጣል እና ከአገልግሎት ሰጪው ለአገልግሎት ሰጪው ከተመለሰው ከ "የስቴቱ" እሴት ጋር ያነፃፅረው. ይህ እሴት በመጠይቁ ውስጥ ካለው "ግዛት" ግቤት ጋር አይዛመድም ምክንያቱም ስለ ወቅታዊ ስብሰባ መረጃው መሠረት ብቻ ነው. በዚህ ምክንያት የተገኘው እሴት በስርዓቱ ተቀባይነት የለውም.

ኦሃንን በሚተገበሩበት ጊዜ ሌሎች ተጋላጭነቶች የተገኙ ሌሎች ተጋላጭነቶች አሉት. የፈቃድ ኮድ ብዙ የመዳረሻ ማስኬዶችን ለማውጣት ከአንድ ጊዜ በላይ ጥቅም ላይ ሊውል ይችላል). እነዚህ ተጋላጭነቶች ከላይ ከተገለጹት ሰዎች የበለጠ የተለመዱ ናቸው, ግን ለእነሱ አደገኛ አያደርግም. ገንቢው የድር ጣቢያውን አስተማማኝ ሥራን ለማረጋገጥ ሁሉንም አስፈላጊ ልምዶች ማወቅ አለበት.

የተተረጎመው ጽሑፍ ደራሲ: - ስም Simon ና "ሳሊባ.

አስፈላጊ! መረጃ ለአካዳሚክ ዓላማዎች ብቻ. እባክዎን ሕግን ያክብሩ እና ይህንን መረጃ ለህገወጥ ዓላማዎች ተግባራዊ ማድረግ አይመልከቱ.

በ Cisoclub.ru ላይ የበለጠ አስደሳች ጽሑፍ. ለእኛ ይመዝገቡ: ፌስቡክ | Vk | ትዊተር | Instagram | ቴሌግራም | ዚን | መልእክተኛ | ICQ አዲስ | YouTube | PUSE.