Dësen Artikel wäert mat der bekannter OAuth Schwachstelle këmmeren. Lieser wäerten och léieren, wéi och sécher a sécher Autorisatioun an der Websäit ze respektéieren.
Oauth ass e zouverléissege Protokoll, awer säi Beräich vun der Sécherheet hänkt ëm déi bewosst vun der Sensibiliséierung vun der Koffer ofhängeg. Dëst mécht dëst Thema extrem wichteg fir Informatiounssécherheetsfach. Mussen se en héije Niveau vu Schutz vu Konten vun hire Benotzer liwweren. Et ass Zäit fir mat effektiver Praktiker ze kennen déi d'Gefor vun engem aarme subth ze reduzéieren.
AféierungOauth 2.0 Protokoll ass am Moment wäit a verschidden Uwendungen benotzt. Benotzt et, e praktesche Benotzer Interface gëtt verfügbar, méi einfach Automatifikatioun an Autorisatioun am Géigesaz zu traditionelle Methode fir de Benotzernumm a Passwuert anzeginn. Mat richteg an Duerchduechte Ëmsetzung, den OAuth Protokoll sinn méi sécher wéi traditionell Autorisatioun, well d'Benotzer hir Comptabelen Daten mat enger bestëmmter Ressource mussen op eng virgesinn D'Benotzer hu sech dacks léiwer aloggen mat hire Google Konten, Facebook oder LinkedIn ze aloggen, anstatt en neie Kont ze kreéieren fir en neie Kont ze kreéieren fir op e puer Websäit ze regelen. Genungen hu sech duerch d'Orannt Stotkoll pregiziell ze vereinfacht ganzt Liewen.
Am Allgemengen, dem Prax oautem Service Provënzen si ganz zou. Loggt Iech mat Google oder Facebook Kont inspiréiert e gewësse Sënn vu Sécherheet, an et ass richteg. De Protokoll ass suergfälteg getest vun Experten. All verfügbar Schwachstelle sinn ëmmer séier vum Entwéckler Team korrigéiert. Wéi och ëmmer, et ass derwäert ze notéieren datt d'Gefill vu komplette Sécherheet falsch ka sinn.
Oauth Service Provider lénks Uwendungserklärungen vill Grënn fir d'Sécherheet vun hirer Programmer ze zersetzen. Dëst ass kloer, etabliches daplac geschütztiv dohschivéierten dohsch, falsch an de Prozess vun senger Installatioun, kann en einfachen Zauberer zoustänneg ginn. Esou Ausspunkt féiert zum Déif vu perséinlechen Daten vun de Benotzer.
Als nächst sollt Dir déi allgemengste Vulschquitiounen an Drëtt-Parteiquete vu Drëttpotkrounen fueren, déi oautah Protocol verdeelen ass hir Benotzer ze autoriséieren. Et muss drun erënnert datt de Protokol selwer entsprécht. Nëmme no filbaren Ëmsetzung gëtt et net negativ ze sinn.
Oauth tocey theft mat dem Referrer HeaderWann d'Applikatioun Autorisatioun am Numm vum Benotzer am Numm vum OAAQF Server kritt, kritt eng Persoun de Code fir an de Server fir säi spéideren Scheck ze verschécken. Wann op der Aarbecht gëtt, gëtt de Benotzer op eng aner Säit weidergeleet, gëtt de Code an der "Russungsrees" Header vun der http Ufro gesi ginn. Also, de Code falen op der externer Websäit, wat meniméiert d'Benotzerdate verantwortlech sinn op den Oautah Server ageschriwwen.
Suiv: de Refest Header ass en HTTT-Query Header, dorditéiert se d'URL zougitt den Ulufit vum Wéi eng Ufro gëtt geschéckt.
Fir d'Konsequenzen vun der Nassabilitéit ze soenfen, datt en Entwécklungszoustabilitéit ouni Uwendung erlaabt, keng HTML Ujektiounen erlaabt. Wann d'Injektiounen festgestallt goufen, kënnen den Ugräifer d'Bild vum Bildschrëft op säi Webserver setzen an e Wee fir de Benotzer drop ze redirektéieren. Sou, hie kritt d'Geleeënheet fir de Code vum "Piore" Pient vun der SCHP WONT ze klauen.
Oauth tocey Déifstall mat dem Redirect_uri ParameterD'Applikatioun initiéiert den Autorisatiounsprozess andeems Dir eng Demande un den Oauth Server schéckt:
https://www.example.com/signin/authorze ?...stirect_urict_uri=HHTPTPSPTP.ExTo.com/logish.
D'Ufro enthält ëmmer de "Redirect_uri" Parameter benotzt vum OAAAHEH Server fir Tokens zréck an d'Applikatioun ze schécken nodeems de Benotzer seng Zoustëmmung huet. Wann de Wäert vun dësem Parameter net kontrolléiert oder net gepréift ass, kann den Accord net méi einfach änneren a Virdeel, wou se e spezielle Programm fir en Zweck benotzt fir den Token.
https://www.example.com/signin/authorze ?...gorent_urict_uri=HHTPTPS:://lodloft.com.
Heiansdo ähnlech URLen sinn blockéiert. Den Erfolleg kann den Empfänger rentativen Donnéeën op an der oppen URL redirigéieren. Sou wéi dëst:
HTTPS EMPH:/WWW.Example.com_Authorze.SRF.Shor_urikt_urikt_uriktpps.GactsoGotts.GoogenToGetTtometubsTetubsatubsTableStableStableStableStableStubsTablesptreceptablesapspott
Oder dëst:
HTTPS EMAWWWW.Example.com/oauth2/authorotze? [...]% irriféieren = HTTPS% 2A% 2FPS% 2FAPS% 2FATS% 2FATS.
Wann Dir Outh ëmsetzen, kënnt Dir ni ganz Domainen an der Wäisslëscht enthalen. Nëmmen e puer URLen sollten op "Redirect_uri" ginn net eng Ufro fir Viruleedung nei opzemaachen.
Fälschung vu Cross-Line-DemandenFälschung vun enger léiter Logfrot kann optrieden wann en Uerder d'Affer op säi Link klickt op e Wonsch ze kliewe fir eng Demande ze maachen datt hien net generéiert huet. Brunisser vu Kräizungskultonnen ass normalerweis mam CSRRO Token ze gedroees, déi mat der Benotzer Session verbonnen ass. Et hëlleft der Uwendung fir d'Persoun vun enger Persoun ze kontrolléieren déi d'Demande geschéckt huet. Den "STOFT" Parameter an den Oauth Protokoll Servs als CSRF Token.
Et ass derwäert ze kucken wéi de CSF Attack op OAuth duerchgefouert gëtt an als "Staat" Parameter kann benotzt ginn fir d'Effekter vu Schwachstelle ze reduzéieren.
Den Hackers mécht e Wok Eeblikatioun an d'Arbecht vum Autorisatiounsprozess fir ze kréien deen Notzt uelt Hëllef benotzt. D'Applikatioun déi de Service Versammungsélaucher respektéiert fir Zougang zum Moment ze mussen. Den Hacker gëtt nei op de Service Ureefer Websäit weidergeleet, wou Dir normalerweis Äre Benotzernumm a Passwuert gitt fir Zougang ze autoriséieren. Amplaz vum Haarzen fänken an verhënnert dës Ufro an d'd'URL ofhéiert. Den Hacker iergendwéi verursaacht Affer dës URL opzemaachen. Wann d'Affer den Déngschtleeschtungsresultater säi System erakënnt, da benotzt seng Umeldungsinformatiounen déi benotzt gi fir en Autorisatiounscode ze maachen. D'Autorisatiounscode den Austausch Zougang zum Zougang Token. Elo ass den Hacker Kont an der Applikatioun autoriséiert. Et kann Zougang zum Affer vum Affer kréien.
Also, wéi kann ech dës Situatioun mat dem "Staat" Parameter benotzen?
D'Applikatioun muss e Wäert kreéieren dat iergendwéi op der Quellbasis ass (zum Beispill, benotzt d'Benotzer Sessioun Hash Schlëssel). Et ass net sou wichteg wat et ass, ass d'Haapt Saach ass dat ass eenzegaarteg an generéiert mat privaten Informatioun iwwer dem originale Benotzer. Et gëtt dem "Staat" Parameter zougewisen.
Dëse Wäert gëtt un de Service Provider iwwerginn wann Dir Viruleedung gëtt. 3 Haken d'éischt d'USL hunn d'Uwendungen opzerongen, an an hëlt heen zréckfegte sech.
D'Autoratioun vum Cortur gëtt ausgestallt an zréck an de Client an de Stécker mat der Sessioun mat dem "STAA" Parameter.
De Client generéiert e Gamile-ausgelellen op enger Sungersprisen, déi zréck vun der Autoriséierung vum Servicementer gouf vum Déngschtungoger ze ginn. Dëse Wäert besteet sech net de "Staat" Parameter an der Corée, sou datt dat nëmmen déi benotzt gëtt just op der Basis vun der Websäit iwwer déi aktuell Sitzung. Als Resultat gëtt de gewaltte Wäert net vum System ugeholl.
Aner Schwachager déi festgestallt ginn, wann Dir d'Fäegkeet ëmzesetzen fir XSS ze maachen (Cross-Site Script) mat dem "Redirect_urii" Parameter ze decamitéieren) Den Autorisatiounscode kann méi benotzt ginn méi wéi eemol e puer Zougang zu Tokens ze ginn). Dës Blulsen mat manner handelen wéi déi uewen beschriwwen, awer och ëmmer manner geféierlech mécht. Den Entwéckler soll all déi néideg Praktiken wëssen fir zouverlässeg Operatioun vun hirer Webapplikatioun ze garantéieren.
Den Auteur vum iwwersetzten Artikel: Simon Saliba.
Wichteg gutt! Informatioun eleng fir akademesch Zwecker. Wann ech glift d'Gesetzgebung respektéiert an net dës Informatioun fir illegal Zwecker gëllen.
Méi interessant Material op CisoCluB.ru. Abonnéiert eis op: Facebook | Vik | TWITT-| Instagram | Telegramm | | Gare Hëllefserammelen ICQ nei | Youtube | Puls.