Isiokwu a ga-emeso ndị ọrụ Oathnerabilities nke ọma. Ndị na-agụ akwụkwọ ga-amụkwa otu esi eme ihe ikike nchekwa na nchekwa weebụ.
Outh bụ Protocol a pụrụ ịdabere na ya, mana nchekwa ya nke ukwuu dabere na mmata nke ndị mmepe weebụ mgbe emepụtara ikike. Nke a na - eme isiokwu a dị oke mkpa maka ndị ọkachamara na nchekwa nchekwa. Ha kwesịrị iwepụta ọkwa dị elu nke ihe ndekọ nke ndị ọrụ ha. Oge erugo ịmara ndị na-eme dị irè ga-enyere aka belata ihe ize ndụ nke ire ere na-ere ere.
NdubataOauth 2.0 Protocol na-ejikarị ugbu a na ngwa dị iche iche. Iji ya, onye ọrụ onye ọrụ dị mma ga-adị, nkwenye dị mfe na ikike iji usoro ọdịnala maka ịbanye aha njirimara na paswọọdụ. Mmejuputa nke oma na iche echiche, onye na - echebe ya karie ikike ọdịnala, ebe ọ bụ na ndị ọrụ achọghị ịkọrọ data ha na ngwa ndị ọzọ ịbanye na akụ. Ndị ọrụ na-ahọrọkarị iji akaụntụ Google ha, Facebook ma ọ bụ Linkook, kama ịmepụta akaụntụ ọhụrụ ọ bụla ịchọrọ ịdebanye aha na websaịtị. N'ihi ya, oath protocol nke ukwuu na-eme ka ndụ anyị dị mfe.
Na mkpokọta, ndị na-eweta ndị na-eweta ọrụ Oauth bụ ezigbo a pụrụ ịtụkwasị obi. Banye na Google ma ọ bụ Facebook na-akpali ụfọdụ nchekwa, ọ dịkwa mma. A na-eji ndị ọkachamara nwalerocol ule. Ihe ndị na - emepụta ihe ndị na - emepụta ihe dị ngwa ngwa na - agbazi oge niile. Agbanyeghị, ọ dị mma ịmara na mmetụta nke nchekwa zuru oke nwere ike ịbụ ụgha.
Ndị na-eweta ọrụ OATUTUTUTUTID na-ahapụ ndị mmepe ngwa ahịa ọtụtụ ihe iji kwụsị nchekwa nke mmemme ha. N'ezie, ọrụ OAITT siri ike, mejupụtara na usoro nke nrụnye ya, nwere ike ịghọ ebumnuche dị mfe maka ndị na-etinye uche. Ihe ndị dị otú a ga-eduga na izu ohi nke ndị ọrụ.
Ọzọ, ị kwesịrị ịtụle ihe ndị a na-ahụkarị na-ezute na ngwa ndị ọzọ na-eme ka ndị ọrụ OATUTH ha nye ikike iji nye ikike. Ekwesịrị icheta na protocol n'onwe ya adịghị mma ma nwee ntụkwasị obi. Naanị mgbe mmejuputa ezighi ezi, ọ na-aghọrọ ndị na-eme ihe ike.
OAUTUTY TUTCKy na-eji isi okwuMgbe ikike ngwa ahụ na-arịọ maka onye ọrụ na sava OAUTUTT, mmadụ na-anata koodu ịbanye ma zighachi azụ na sava ahụ maka nyocha ya maka nyocha ya. Ọ bụrụ na n'oge ọrụ a ga-ebugharị onye ọrụ ahụ gaa na peeji ọzọ, a ga-ahụ koodu ahụ na "onye na-ezo aka" isi nke arịrịọ Http. Ya mere, koodu a ga-ada na weebụsaịtị mpụga, nke ga-eyi egwu data onye ọrụ edebara na sava OAUTUTUT.
IHE: Isi onye na-akpọ isi nke HTTP ajụjụ ajụjụ, ọ na-ebute ndị ọbịa nke URL site na nke ezigara arịrịọ ahụ.
Iji mee ka nsonaazụ nke ọghọm dị na ya, onye nrụpụta ga-ejide n'aka na ngwa weebụ enweghị ọ bụla enweghị HTML injection. Ọ bụrụ na achọpụtara ntụtụ ahụ, onye na-awagharị nwere ike ịtọlite mkpado nke ihe nkesa weebụ ya wee chọta ụzọ iji bugharịa onye ọrụ na ya. N'ihi ya, ọ ga-enweta ohere izuru koodu site na "onye ntụnye" nke arịrịọ Http.
Izu ohi Oauthy na-eji ntụgharị-_uriNgwa a na-amalite usoro ikike site na izipu arịrịọ na sava OAUTUT:
HTTPS://www.example.com/enign/Authorieze_./2&redrect_uri=htpps://demo.exexSple.com/loginsivess.com/loginsiven.
Ajụjụ a na-enwekarị "redirect_uri" nke ihe nkesa OAUTUTH iji ziga akara ngosi azụ na ngwa ahụ onye ọrụ nyere nkwenye ya. Ọ bụrụ na a naghị achịkwa uru nke oke a ma ọ bụ nyochaghị, onye na-awakpo nwere ike ịgbanwe ya ma na-atụgharị ihe omume pụrụ iche maka ịhazi nkwonkwo ụkwụ ma nweta ohere ịnweta nkwonkwo ma nweta ohere na obere akụ.
HTTPS://www.example.com/Aignin/Authorize - Why ... Visigredhorect_uri=httpps://localhost.evil.com.
Mgbe ụfọdụ URL ndị yiri ya egbochi. Onye na-awakpo ahụ nwere ike ibugharị data na-enweta na URL mepere emepe, dị ka nke a:
HTTPS://www.example.com/eaat20/eAuttize.SRFETORS.NTOOLTETS.NOLTETTHTTTPS: WINGOOGETHSTTTPS: Ugbu acktouthShubttart.1/evil.com.
Ma ọ bụ nke a:
HTTPS://www.example.com/eaat2/euthtorie? [...]
Mgbe ị na-etinye Oauth, ịnweghị ike ịgụnye ngalaba aha niile na ndepụta ọcha. Naanị urls ole na ole ga-agbakwunye na "redirect_uri" anaghị ebugharị arịrịọ iji mepee emepe emepe emepe emepe.
Ahịrị nke arịrịọ arịrịọIwe nke arịrịọ ụgbọ mmiri nwere ike ime mgbe onye na-awakpo na-eme ka onye ahụ mee ka ọ pịa njikọ ya na, yabụ, iji mepụta arịrịọ na ọ gaghị eweta ihe ọ na-agaghị eweta. A na-ejikarị arịrịọ ndị Cross-strite na-ejikọ aka na CSRF Token, nke jikọtara ya na nnọkọ onye ọrụ. Ọ na - enyere aka iji lelee onye nke onye zitere arịrịọ ahụ. Isi "steeti" na Oath Protocol na-arụ ọrụ dị ka CSRF Token.
Ọ dị mma ilele etu a na-ebu amwakpo CSRF na OAUT na "Ọnọdụ" Ọnọdụ "Ọnọdụ" nwere ike iji belata mmetụta nke adịghị ike.
Hacker ga-emepe ngwa Weebụ ma wepụta usoro ikike iji nweta onye na-enye nlekọta ọrụ site na oauth. Arịrịọ ngwa a na-arịọ maka ndị na-eweta ọrụ iji nweta ihe ndị dị mkpa. A ga-atụgharịgharị ha na ebe nrụọrụ weebụ na-eweta ọrụ, ebe ị na-abụkarị ịbanye aha njirimara na paswọọdụ gị iji nye ikike ịnweta. Kama nke ahụ, onye na-achọ ihe ahụ na-ejide ma na-egbochi arịrịọ a ma chekwaa URL ya. Solocker na-eme ka onye ahụ merụọ URL a. Ọ bụrụ na onye ahụ na-etinyere usoro ọrụ onye na-eweta ọrụ site na iji akaụntụ ya, mgbe ahụ a ga-eji nzere ya iji nye koodu ikike. Kwuru ikike iji nweta ikike ịbanye na ịnweta. Ugbu a ikike akaụntụ na ngwa ahụ nyere ikike. Ọ nwere ike ịnweta akaụntụ onye ahụ metụtara.
Yabụ, kedu ka m ga - esi gbochie ọnọdụ a site na iji oke "steeti"?
Ngwa ahụ ga-emepụta uru dị iche iche dabere na akaụntụ isi iyi (dịka ọmụmaatụ, jiri akara nnọkọ Ish). Ọ baghị uru ihe ọ bụ, isi ihe bụ na uru pụrụ iche ma mepụta site na iji ozi nzuzo banyere onye ọrụ mbụ. E kenyere ya parameter "steeti".
A na-ebufe uru a na-eweta ọrụ mgbe ị na-ebugharị. Ugbu a onye na-akwado ya na-akpọ onye ahụ a tara URL ahụ, nke ọ na-ejide.
A na-enye ikike ikike ma zighachighachi onye ahịa na nnọkọ yana oke "steeti".
Onye ahịa ahụ na-ewepụta oke ọnụọgụ nke dabere na ozi nnọkọ ma jiri ya tụnyere uru "steeti", nke ezitere azụ na arịrịọ ikike maka ndị na-eweta ọrụ. Uru a adabaghị na parameter "steeti" na ajụjụ ahụ, ebe ọ bụ na emepụtala ya naanị na ozi gbasara oge a. N'ihi ya, sistemụ ahụ anaghị anabata site na sistemụ.
A na-achọpụta nsogbu ndị ọzọ mgbe ị na-etinye Omeuth na-etinye usoro iji mepụta XSS (ISIRIRSI "na-enwe mgbe ụfọdụ mgbe ị na-emebi iwu ekwentị (mgbe Enwere ike iji koodu ikike karịrị otu mgbe ị ga-esi mee ka ọtụtụ ihe ruru ogo). Ihe ndị a na-adịghị na-ahụkarị karịa nke ndị akọwara n'elu, mana ọ naghị eme ka ha dị njọ. Onye nrụpụta kwesịrị ịma omume niile dị mkpa iji hụ na ọrụ a pụrụ ịdabere na ngwa weebụ ya.
Nkeji edemede a sụgharịrị: Simon Salba.
Ọ Dị Mkpa! Ozi naanị maka ebumnuche agụmakwụkwọ. Biko gbasoo iwu ma ghara itinye ozi a maka ebumnuche iwu na-akwadoghị.
Ihe na-adọrọ mmasị karịa na cisoclub.ru. Idenye aha anyị: Facebook | VK | Twitter | Instagram | Teligram | Zen | Ozi | ICQ ohuru | YouTube | Iku ume.