Ity lahatsoratra ity dia hiatrika ny marefo Oauth fanta-daza. Ny mpamaky dia hianatra ihany koa ny fomba fampiharana sy azo antoka ny fanomezan-dàlana amin'ny Internet.
I Oauth dia protocol azo itokisana, fa ny haavon'ny filaminana dia miankina amin'ny fahafantarana ny mpamorona tranonkala rehefa mametraka ny fanomezan-dàlana. Izany dia mahatonga ity lohahevitra ity ho tena manan-danja ho an'ny matihanina amin'ny mombamomba ny fampahalalana. Mila manome fiarovana avo lenta amin'ny kaontin'ny mpampiasa azy ireo izy ireo. Fotoana izao mba hifankahalalana amin'ireo mpitsabo mandaitra izay hanampy amin'ny fampihenana ny loza ateraky ny fivarotana tsy mahantra.
Sava lalanaOauth 2.0 Protocol dia ampiasaina be amin'ny fampiharana isan-karazany. Mampiasa azy io, ny interface tsara mpampiasa azo ampiasaina dia azo antoka sy fanomezan-dàlana mora kokoa raha ampitahaina amin'ny fomba nentim-paharazana amin'ny fidirana ny anarana sy ny tenimiafina. Miaraka amin'ny fampiharana sy ny fiheveran-tena sy ny eritreritrao, ny protocol oauth, dia tsy ho azo antoka kokoa noho ny fanomezan-dàlana nentim-paharazana, satria ny mpampiasa tsy mila mizara ny angon-dry zareo amin'ny fangatahana antoko fahatelo mba hidirana amin'ny loharano manokana. Matetika ny mpampiasa dia aleony miditra amin'ny fampiasana ny kaontiny Google, Facebook na LinkedIn, fa tsy mamorona kaonty vaovao isaky ny mila misoratra anarana amin'ny tranonkala sasany ianao. Araka izany, ny protocol Oauth dia manatsotra be ny fiainantsika.
Amin'ny ankapobeny, ny mpanome serivisy OAUTH malaza dia azo itokisana. Ny fidirana amin'ny kaonty Google na Facebook dia manome aingam-panahy ny fahatsapana fiarovana iray, ary marina izany. Ny protocol dia nosedraina tsara amin'ny manam-pahaizana manokana. Ny marefo rehetra misy dia manitsy foana ny ekipan'ny mpamorona. Na izany aza dia mendrika ny manamarika fa ny fahatsapana fiarovana tanteraka dia mety ho diso.
Ny mpanome serivisy OAuth dia namela ny mpampanampy ny mpampanoratra dia antony maro hanoherana ny fiarovana ny fandaharan'asany. Raha ny tena izy, ny serivisy OAuth voaaro voaro, dia tsy marina amin'ny fizotran'ny fametrahana azy, dia mety ho lasa kendrena mora ho an'ny mpiditra an-tsokosoko. Ny preeoccupacy toy izany dia hitarika ny halatra amin'ny angon-drakitra ataon'ny mpampiasa manokana.
Manaraka, tokony hoheverinao ny marefo indrindra izay nifanena tamin'ny fampiharana antoko fahatelo izay nanatanteraka ny Protocol an'i Oauth mba hanomezana alàlana ny mpampiasa azy ireo. Tsy maintsy ho tsaroana fa azo antoka sy azo itokisana ny protocol. Taorian'ny fampiharana diso fotsiny dia lasa marefo amin'ny fanafihana hacker.
Ny halatra Oauth Tockey mampiasa ny loham-pianakaviana refererRehefa mangataka ny fahazoan-dàlana ho an'ny mpampiasa ao amin'ny mpizara Oauth ny fangatahana, ny olona iray dia mandray ny kaody hidirana ary alefa any amin'ny mpizara ho an'ny mpizara azy. Raha mandritra ny asa dia haverina amin'ny pejy hafa ny mpampiasa, ny kaody dia ho hita ao amin'ny lohatenin'ny "Referer" an'ny fangatahana HTTP. Araka izany, ny kaody dia hianjera amin'ny tranokala ivelany, izay hanohintohina ny angon-drakitra mpampiasa voasoratra ao amin'ny mpizara OAUth.
FANAMARIHANA: Ny loham-pianakaviana referer dia lohatenin'ny HTTP Query, mampita ny URL izay alefa ny fangatahana.
Mba hanalalahana ny vokatr'io marefo io, ny mpamorona dia tsy maintsy mahazo antoka fa tsy misy tsindrona HTML ny fampiharana azy. Raha hita ny tsindrona, ny mpanafika dia afaka mametraka ny marika sary ao amin'ny mpizara tranonkala ary mahita fomba hanamboarana ny mpampiasa azy. Araka izany, dia hahazo ny fotoana hangatahana ny kaody avy amin'ny lohatenin'ny "Referer" amin'ny fangatahana HTTP.
Ny halatra Tockey Oauth Tockey mampiasa ny redirect_uri parameterNy fampiharana dia manomboka ny fizotran'ny fanomezan-dàlana amin'ny alàlan'ny fandefasana fangatahana amin'ny mpizara OAUth:
https://www.example.com/signin/authorize?ny .. wind kredirect_uri=https://demo.example.com/loginuccessul.
Ny fangatahana foana dia misy ny tarehimarika "redirect_uri" ampiasain'ny mpizara OAuth mba handefasana tokana miverina amin'ny fangatahana taorian'ny nanoloran'ny mpampiasa azy. Raha tsy voafehy ny lanjan'io tarehimarika io, dia afaka manova azy io ny mpanafika ary manova ny fangatahana amin'ny tranokalany, izay ampiasain'ny programa manokana amin'ny fanodinana ny loharano voafetra.
https://www.example.com/signin/authorize?ny ... wind tefregect_uri=https://localhost.evilocal.com.
Indraindray ny URL mitovy dia voasakana. Ny mpanafika dia afaka mamerina ny angon-drakitra voaray ao amin'ny URL misokatra, toy izao:
https://www.example.com/oauth20_authorize.srf?[...[&redirect_uri=httpps://accounts.google.com/backtoouthsubtarget?next=httpset://evil.com.
Na izao:
https://www.example.com/oauth2/authorize?
Rehefa mampihatra ny OAUTH, dia tsy afaka mampiditra toerana tsy ampidirina ao anaty lisitra fotsy ianao. Ny URL vitsivitsy ihany no tokony hampiana amin'ny "redirect_uri" tsy namerina ny fangatahana hanokatra redirect.
Fampaherezana ny fangatahana lakroaNy fanadinoana ny fangatahana intersight dia mety hitranga rehefa mahomby ny mpanafika iray mba hampitsaharana ny rohy aminy ary, noho izany, ny famoriany fangatahana izay tsy hiteraka. Fampaherezana ny fangatahana lakroa dia matetika no manalefaka ny tokana CSRF, izay mifandray amin'ny fotoam-pivoriana mpampiasa. Izy io dia manampy ny fangatahana hanamarina ilay olona nandefa ilay fangatahana. Ny tarehimarika "fanjakana" ao amin'ny Eauth Protocol dia asiana CSRF.
Tsara ny mijery ny fomba nanatanterahana ny fanafihana CSRF ao amin'ny OAUTH ary satria ny tarehimarika "fanjakana" dia azo ampiasaina hanalefahana ny vokatry ny marefo.
Manokatra rindranasan'ny tranonkala ny hacker ary manangana ny fizotran'ny fanomezan-dàlana mba hidirana amin'ny mpamatsy serivisy mampiasa OAuth. Ny fampiharana dia mangataka mpamatsy serivisy hidirana izay tokony homena. HACKER dia haverina amin'ny tranokalan'ny serivisy mpanome tolotra, izay matetika mila miditra amin'ny anaranao sy ny tenimiafinao mba hanomezana alàlana ny fidirana. Fa kosa, ny mpijirika dia misambotra sy manakana io fangatahana io ary mamonjy ny url. Hacker somary mampahatezitra ilay lasibatra hanokatra ity url ity. Raha niditra tao amin'ny rafitry ny serivisy tamin'ny alàlan'ny kaontin'ny serivisy ilay niharam-boina, dia hampiasaina hamoaka kaody fahazoan-dàlana ny fahazoan-dàlana. Ny kaody fanomezan-dàlana dia mifanakalo ny fidirana amin'ny fidirana fidirana. Ankehitriny ny kaonty hacker ao amin'ny fampiharana dia omena alalana. Afaka miditra amin'ny kaontin'ilay lasibatra izany.
Ahoana àry no ahafahako misakana an'io toe-javatra io amin'ny alàlan'ny tarehimarika "fanjakana"?
Ny fampiharana dia tsy maintsy mamorona sanda izay miorina amin'ny kaonty loharano (ohatra, ampiasao ny fanalahidin'ny mpampiasa ny fanalahidin'ny mpampiasa). Tsy dia tena zava-dehibe loatra izany, ny tena zava-dehibe dia ny sandany dia tsy manam-paharoa ary novokarina tamin'ny fampahalalana manokana momba ilay mpampiasa tany am-boalohany. Voatendry ho an'ny tarehimarika "fanjakana".
Ity soatoavina ity dia ampitaina amin'ny mpamatsy serivisy rehefa mamerina. Ankehitriny dia nanasa ilay niharam-boina ilay mpijery hanokatra ny URL, izay notazoniny.
Navoaka ny kaody fanomezan-dàlana ary naverina niverina tany amin'ny mpanjifa tamin'ny fotoam-pivoriana niaraka tamin'ny tarehimarika "fanjakana".
Ny mpanjifa dia miteraka sanda iray mifototra amin'ny fampahalalana session ary mampitaha azy amin'ny lanjan'ny "fanjakana", izay nalefa avy amin'ny fangatahana fanomezan-dàlana ho an'ny mpamatsy serivisy. Ity soatoavina ity dia tsy mifanentana amin'ny tarehimarika "fanjakana" ao amin'ny Query, satria izy io dia novolavolaina fotsiny noho ny fampahalalana momba ny fivoriana ankehitriny. Vokatr'izany dia tsy eken'ny rafitra ny sandany azo alaina.
Ny marefo hafa dia hita rehefa mampihatra an'i Oauth dia ny fahaizana manatanteraka XSS (script-site) amin'ny alàlan'ny «redirect_uri» Ny kaody fanomezan-dàlana dia azo ampiasaina mihoatra ny indray mandeha mba hamoaka tokana misy fidirana marobe). Ireo marefo ireo dia tsy dia mahazatra noho ireo voalaza etsy ambony, fa tsy mampidi-doza azy ireo. Ny mpamorona dia tokony hahalala ny fomba rehetra ilaina mba hiantohana ny fampiasan-tena azo itokisana ny fampiharana ny Internet.
Ny mpanoratra ny lahatsoratra nadika: Simon Saliba.
Zava-dehibe! Fampahalalana fotsiny ho an'ny tanjona akademika. Azafady mba ampitao amin'ny lalàna ary aza mampihatra izany fampahalalana izany amin'ny tanjona tsy ara-dalàna.
Fitaovana mahaliana kokoa ao amin'ny CISOCLUCL.RUR.RUMN.R. Mifandraisa aminay: facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Vaovao | Youtube | Pulse.