Déileálfaidh an t-alt seo leis na leochaileachtaí OAUTH aitheanta. Foghlaimeoidh léitheoirí freisin conas údarú sábháilte agus slán a chur i bhfeidhm san iarratas Gréasáin.
Is Prótacal iontaofa é OAUT, ach braitheann a leibhéal slándála den chuid is mó ar fheasacht fhorbróirí gréasáin agus iad ag cur údarú i bhfeidhm. Fágann sé seo go bhfuil an topaic seo thar a bheith tábhachtach do ghairmithe slándála faisnéise. Caithfidh siad leibhéal ard cosanta cuntais a sholáthar dá n-úsáideoirí. Tá sé in am aithne a chur ar chleachtóirí éifeachtacha a chabhróidh leis an gcontúirt a bhaineann le droch-dhíol OAuth a laghdú.
RéamhráÚsáidtear prótacal OAuth 2.0 go forleathan faoi láthair in iarratais éagsúla. Ag baint úsáide as é, tá comhéadan úsáideora áisiúil ar fáil, fíordheimhniú níos éasca agus údarú i gcomparáid le modhanna traidisiúnta chun an t-ainm úsáideora agus an focal faire a chur isteach. Le cur i bhfeidhm cuí agus tuisceanach, beidh an Prótacal OAUT níos sábháilte ná údarú traidisiúnta, ós rud é nach gá d'úsáideoirí a gcuid sonraí cuntasaíochta a roinnt le hiarratas tríú páirtí chun rochtain a fháil ar acmhainn shonrach. Is minic gur fearr le húsáideoirí logáil isteach a gcuid cuntas Google, Facebook nó LinkedIn, seachas cuntas nua a chruthú gach uair a chaithfidh tú clárú ar roinnt láithreán gréasáin. Dá bhrí sin, déanann an Prótacal OAUT ár saol a shimpliú go mór.
Go ginearálta, tá soláthraithe seirbhíse OAUTH tóir an-iontaofa. Spreagann logáil isteach le cuntas Google nó Facebook tuiscint áirithe slándála, agus tá sé ceart. Déantar an prótacal a thástáil go cúramach ag saineolaithe. Ceartaíonn an fhoireann forbróra i gcónaí na leochaileachtaí atá ar fáil go tapa. Mar sin féin, is fiú a thabhairt faoi deara go bhféadfadh an mothú sábháilteachta iomlán a bheith bréagach.
D'fhág soláthraithe seirbhíse OAUT forbróirí iarratais go leor cúiseanna le sábháilteacht a gcláir a mhaolú. Go deimhin, is féidir leis an tseirbhís OATH a chosaint ar dtús, atá curtha i bhfeidhm go mícheart i bpróiseas a shuiteála, a bheith ina sprioc éasca do dhaoine ionraitheoirí. Tiocfaidh sonraí pearsanta na n-úsáideoirí mar thoradh ar an réamhchúlacht sin.
Ansin, ba cheart duit machnamh a dhéanamh ar na leochaileachtaí is coitianta a tharla in iarratais tríú páirtí a chuireann Prótacal OAUT bhfeidhm chun a n-úsáideoirí a údarú. Ní mór a mheabhrú go bhfuil an prótacal féin sábháilte agus iontaofa. Ach amháin tar éis cur i bhfeidhm mícheart, bíonn sé i mbaol ionsaithe hacker.
Gadaíocht Tocsaine OAUT ag baint úsáide as an gceanntásc athréimseNuair a iarrann an t-iarratas údarú thar ceann an úsáideora ag an bhfreastalaí OATH, faigheann duine an cód chun dul isteach agus seol ar ais chuig an bhfreastalaí é dá sheiceáil ina dhiaidh sin. Más rud é, le linn na hoibre, déanfar an t-úsáideoir a atreorú chuig leathanach eile, feicfear an cód sa cheanntásc "déantóra" an iarratais HTTP. Dá bhrí sin, tiocfaidh an cód ar an suíomh gréasáin seachtrach, a chuirfidh na sonraí úsáideora a bhagairt ar an bhfreastalaí OAUT.
TABHAIR FAOI DEARA: Is ceanntásc ceiste http é ceanntásc an athréir, a tharchuireann an t-óstach URL as a seoltar an t-iarratas.
Chun iarmhairtí an leochaileachta seo a mhaolú, ní mór don fhorbróir a chinntiú nach bhfuil aon instealltaí html iontu. Má aimsíodh na instealltaí, is féidir leis an ionsaitheoir an clib íomhá a shocrú go héasca ar a fhreastalaí gréasáin agus bealach a aimsiú chun an t-úsáideoir a atreorú air. Dá bhrí sin, gheobhaidh sé an deis chun an cód a ghoid ón gceanntásc "Reifir" den iarratas HTTP.
Goid Tocsaine OAUT ag baint úsáide as an paraiméadar Redirect_uriCuireann an t-iarratas tús leis an bpróiseas údaraithe trí iarratas a sheoladh chuig an bhfreastalaí OATH:
https://www.example.com/signin/Authorize?.. \ T
Cuimsíonn an cheist i gcónaí an paraiméadar "Redirect_URI" a úsáideann an freastalaí OAUT chun comharthaí a chur ar ais chuig an iarratas tar éis don úsáideoir a thoiliú a thabhairt. Mura ndéantar luach an pharaiméadair seo a rialú nó nár sheiceáil, is féidir leis an ionsaitheoir é a athrú go héasca agus an t-iarratas ar a láithreán gréasáin a atreorú go héasca, áit a n-úsáideann sé clár speisialta chun an comhartha a phróiseáil agus rochtain a fháil ar acmhainn theoranta.
https://www.example.com/signin/Authorize?IGNION.
Uaireanta cuirtear bac ar URLanna comhchosúla. Is féidir leis an ionsaitheoir na sonraí a fuarthas ar an URL oscailte a atreorú, mar seo:
https://www.example.com/oauth20_authorize.srf??_a./0Direct_uri=httpps.ibacktouthsubtasget?nextouthsubtasget?next=http.s.
Nó seo:
HTTPS://www.example.com/oauth2/Authorize? [...]% irect_uri = https% 3a% 2f% 2fapps.facebook.com% 2fattacker% 2f.
Nuair a chur i bhfeidhm OAUT, ní féidir leat réimsí iomlána a chur san áireamh sa liosta bán. Níor chóir ach cúpla URL a chur le "Redirect_uri" nár athdhíríodh iarratas ar atreorú a oscailt.
FÓGRAÍONN NA n-iarratais tras-líneIs féidir go dtarlóidh brionnú ar iarratas idirthréimhseach nuair a éiríonn le hionsaitheoir an t-íospartach a dhéanamh chun cliceáil ar a nasc agus, dá bhrí sin, iarraidh a ghiniúint nach raibh sé ag gineadh. Is iondúil go mbíonn brionnú ar iarratais tras-líne ag bogeadh le dearbhán CSRF, a bhaineann leis an seisiún úsáideora. Cabhraíonn sé leis an iarratas an duine a sheol an t-iarratas a sheiceáil. Feidhmíonn an paraiméadar "stát" sa phrótacal OAUT mar chomhartha CSRF.
Is fiú breathnú ar an gcaoi a ndéantar an ionsaí CSRF ar OAUT agus mar is féidir an paraiméadar "Stáit" a úsáid chun éifeachtaí leochaileachta a mhaolú.
Osclaíonn Hacker feidhmchlár gréasáin agus seolann sé an próiseas údaraithe chun rochtain a fháil ar an soláthraí seirbhíse a úsáideann OAuth. Iarrann an t-iarratas ar sholáthraí seirbhíse rochtain a sholáthar. Déanfar hacker a atreorú chuig láithreán gréasáin an tsoláthraí seirbhíse, áit a gcaithfidh tú d'ainm úsáideora agus do phasfhocal a chur isteach chun rochtain a údarú. Ina áit sin, gabhfaidh an hacker agus cuireann sé cosc ar an iarraidh seo agus sábhálann sé a URL. Is cúis le hacker ar bhealach éigin an t-íospartach an URL seo a oscailt. Má chuir an t-íospartach isteach córas an tsoláthraí seirbhíse ag baint úsáide as a chuntas, ansin bainfear úsáid as a dhintiúir chun cód údaraithe a eisiúint. Déanann an Cód Údaraithe rochtain ar an gComhaontú Rochtana a mhalartú. Anois tá an cuntas hacker san iarratas údaraithe. Is féidir leis rochtain a fháil ar chuntas an íospartaigh.
Mar sin, conas is féidir liom an cás seo a chosc ag baint úsáide as an "stát" paraiméadar?
Ní mór an t-iarratas a chruthú luach atá bunaithe ar bhealach éigin ar an gcuntas foinse (mar shampla, a bhaint as an seisiún úsáideora eochair Hash). Níl sé chomh tábhachtach sin, is é an rud is mó atá ann ná go bhfuil an luach uathúil agus ginte ag baint úsáide as faisnéis phríobháideach faoin mbun-úsáideoir. Tá sé sannta don pharaiméadar "Stáit".
Tarchuirtear an luach seo chuig an soláthraí seirbhíse agus iad ag atreorú. Anois cuireadh an hacker an t-íospartach an URL a oscailt, a choinnigh sé.
Eisítear an cód údaraithe agus seoltar ar ais chuig an gcliant sa seisiún é mar aon leis an bparaiméadar "Stáit".
Gineann an cliant luach paraiméadair bunaithe ar fhaisnéis seisiúin agus déanann sé comparáid idir an luach "Stáit", a seoladh ar ais ón iarratas údaraithe don soláthraí seirbhíse. Ní mheaitseálann an luach seo an paraiméadar "stát" sa cheist, ós rud é gur gineadh é ach ar bhonn faisnéise faoin seisiún reatha. Mar thoradh air sin, ní ghlacann an córas leis an luach a fuarthas.
Áirítear le leochaileachtaí eile a braitheadh nuair a chuirtear an cumas chun XSS a dhéanamh (scriptithe tras-láithreáin) ag baint úsáide as an "Redirect_uri" paraiméadar, an suíomh eochair phríobháideach OAUT (is féidir an eochair a fháil uaireanta nuair a dhéantar iarratas soghluaiste a dhíbirt) agus sárú riail an chóid údaraithe (cathain Is féidir an cód údaraithe a úsáid níos mó ná uair amháin chun il-rochtana a eisiúint). Níl na leochaileachtaí seo chomh coitianta ná na leochaileachtaí seo ná iad siúd a bhfuil cur síos orthu thuas, ach ní dhéanann sé níos lú contúirtí iad. Ba chóir go mbeadh a fhios ag an bhforbróir na cleachtais riachtanacha go léir chun oibriú iontaofa a fheidhmithe gréasáin a chinntiú.
Údar an ailt aistrithe: Simon Saliba.
Tábhachtach! Faisnéis amháin chun críocha acadúla amháin. Comhlíonadh le do thoil le reachtaíocht agus ná cuir an fhaisnéis seo i bhfeidhm chun críocha neamhdhleathacha.
Ábhar níos suimiúla ar cisoclub.ru. Liostáil dúinn: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Nua | YouTube | Cuisle.