ഈ ലേഖനം അറിയപ്പെടുന്ന OAuath ർജ്ജത്തലക്ഷരങ്ങളെ കൈകാര്യം ചെയ്യും. വെബ് ആപ്ലിക്കേഷനിൽ സുരക്ഷിതവും സുരക്ഷിതവുമായ അംഗീകാരം എങ്ങനെ നടപ്പാക്കാമെന്ന് വായനക്കാർ പഠിക്കും.
OAuth ഒരു വിശ്വസനീയമായ പ്രോട്ടോക്കോളാണ്, പക്ഷേ അതിന്റെ സുരക്ഷാ ബിരുദം അംഗീകാരം നടപ്പിലാക്കുമ്പോൾ വെബ് ഡവലപ്പർമാരെക്കുറിച്ചുള്ള അവബോധത്തെ ആശ്രയിച്ചിരിക്കുന്നു. വിവരങ്ങൾ സുരക്ഷാ പ്രൊഫഷണലുകൾക്കായി ഇത് ഈ വിഷയം വളരെ പ്രധാനമാക്കുന്നു. അവരുടെ ഉപയോക്താക്കളുടെ അക്കൗണ്ടുകളുടെ ഉയർന്ന പരിരക്ഷ നൽകേണ്ടതുണ്ട്. ഫലപ്രദമായ പരിശീലനക്കാരെ പരിചയപ്പെടാനുള്ള സമയമാണിത്.
പരിചയപ്പെടുത്തല്Outh 2.0 പ്രോട്ടോക്കോൾ നിലവിൽ വിവിധ അപ്ലിക്കേഷനുകളിൽ വ്യാപകമായി ഉപയോഗിക്കുന്നു. ഇത് ഉപയോഗിക്കുന്നു, സൗകര്യപ്രദമായ ഉപയോക്തൃ ഇന്റർഫേസ് ലഭ്യമാകും, ഉപയോക്തൃനാമവും പാസ്വേഡും നൽകുന്നതിനുള്ള പരമ്പരാഗത രീതികളുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ എളുപ്പത്തിൽ പ്രാമാണീകരണവും അംഗീകാരവും. ഒരു നിർദ്ദിഷ്ട ഉറവിടം ആക്സസ് ചെയ്യുന്നതിന് ഉപയോക്താക്കൾ അവരുടെ അക്ക into ണ്ടിൽ ഡാറ്റ പങ്കിടേണ്ട ആവശ്യമില്ല, കാരണം ഉപയോക്താക്കൾ അവരുടെ അക്ക into ണ്ടിൽ ഡാറ്റ പങ്കിടേണ്ട ആവശ്യമില്ല, കാരണം ഉപയോക്താക്കൾ അവരുടെ അക്ക ing ണ്ടിംഗ് ഡാറ്റ പങ്കിടേണ്ട ആവശ്യമില്ല. ചില വെബ്സൈറ്റിൽ നിങ്ങൾ രജിസ്റ്റർ ചെയ്യേണ്ട ഓരോ തവണയും രജിസ്റ്റർ ചെയ്യേണ്ടതുണ്ട്, ഓരോ തവണയും ഒരു പുതിയ അക്കൗണ്ട് സൃഷ്ടിക്കുന്നതിനുപകരം ഉപയോക്താക്കൾ പലപ്പോഴും അവരുടെ Google അക്കൗണ്ടുകൾ, ഫേസ്ബുക്ക് അല്ലെങ്കിൽ ലിങ്ക്ഡ്ഇൻ ഉപയോഗിക്കുന്നത് ലോഗിൻ ചെയ്യാൻ ഇഷ്ടപ്പെടുന്നു. അങ്ങനെ, ഓതർ പ്രോട്ടോക്കോൾ നമ്മുടെ ജീവിതത്തെ വളരെയധികം ലളിതമാക്കുന്നു.
പൊതുവേ, ജനപ്രിയമായ ഏകധ സേവന ദാതാക്കൾ വളരെ വിശ്വസനീയമാണ്. Google അല്ലെങ്കിൽ Facebook അക്ക with ണ്ട് ഉപയോഗിച്ച് പ്രവേശിക്കുക ഒരു നിശ്ചിത സുരക്ഷയ്ക്ക് പ്രചോദനം നൽകുന്നു, അത് ശരിയാണ്. പ്രോട്ടോക്കോൾ ശ്രദ്ധാപൂർവ്വം വിദഗ്ദ്ധർ പരീക്ഷിക്കുന്നു. ലഭ്യമായ എല്ലാ കേടുപാടുകളും എല്ലായ്പ്പോഴും ഡവലപ്പർ ടീം വേഗത്തിൽ തിരുത്തുന്നു. എന്നിരുന്നാലും, സമ്പൂർണ്ണ സുരക്ഷയുടെ വികാരം തെറ്റാണെന്ന് തോന്നുന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.
Ouather സേവന ദാതാക്കൾ അവരുടെ പ്രോഗ്രാമുകളുടെ സുരക്ഷയ്ക്ക് അർഹിക്കാൻ ഒരുപാട് ആപ്ലിക്കേഷൻ ഡവലപ്പർമാരെ ഉപേക്ഷിച്ചു. വാസ്തവത്തിൽ, തുടക്കത്തിൽ പരിരക്ഷിത Oather സേവനം, അതിന്റെ ഇൻസ്റ്റാളേഷൻ പ്രക്രിയയിൽ തെറ്റായി നടപ്പാക്കി, നുഴഞ്ഞുകയറ്റക്കാർക്ക് ഒരു എളുപ്പ ലക്ഷ്യമായി മാറാം. അത്തരം മുൻകൂർ ഉപയോക്താക്കളുടെ സ്വകാര്യ ഡാറ്റ മോഷണത്തിലേക്ക് നയിക്കും.
അടുത്തതായി, അവരുടെ ഉപയോക്താക്കൾക്ക് അംഗീകാരം നൽകാനായി ഓതർ പ്രോട്ടോക്കോൾ നടപ്പിലാക്കുന്ന മൂന്നാം കക്ഷി ആപ്ലിക്കേഷനുകളിൽ നേരിടുന്ന ഏറ്റവും സാധാരണമായ കേടുപാടുകൾ നിങ്ങൾ പരിഗണിക്കണം. പ്രോട്ടോക്കോൾ തന്നെ സുരക്ഷിതവും വിശ്വസനീയവുമാണെന്ന് ഓർമ്മിക്കേണ്ടതാണ്. തെറ്റായ നടപ്പാക്കലിന് ശേഷം മാത്രം, ഇത് ഹാക്കർ ആക്രമണത്തിന് ഇരയാകുന്നു.
റഫററർ ഹെഡർ ഉപയോഗിച്ച് OAUTH ടോക്കി മോഷണംആപ്ലിക്കേഷൻ ഉപയോക്താവിന് നൽകുന്ന ഉപയോക്താക്കൾക്ക് വേണ്ടി അംഗീകാരം നൽകാൻ അഭ്യർത്ഥിക്കുമ്പോൾ, തുടർന്നുള്ള ചെക്കിനായി ഒരു വ്യക്തിക്ക് പ്രവേശിക്കാനും തിരികെ അയയ്ക്കാനും ഒരു വ്യക്തിക്ക് കോഡ് ലഭിക്കുന്നു. ജോലിയിൽ ഉപയോക്താവ് മറ്റൊരു പേജിലേക്ക് റീഡയറക്ടുമ്പോൾ, എച്ച്ടിടിപി അഭ്യർത്ഥനയുടെ "റഫററർ" തലക്കെട്ടിൽ കോഡ് കാണും. അതിനാൽ, കോഡ് ബാഹ്യ വെബ്സൈറ്റിൽ വീഴും, അത് oate സെർവറിൽ രജിസ്റ്റർ ചെയ്ത ഉപയോക്തൃ ഡാറ്റയെ ഭീഷണിപ്പെടുത്തും.
കുറിപ്പ്: റഫററർ ഹെഡർ ഒരു എച്ച്ടിടിപി അന്വേഷണ തലക്കെട്ടാണ്, ഇത് അഭ്യർത്ഥന അയച്ച URL ഹോസ്റ്റിനെ കൈമാറുന്നു.
ഈ ദുർബലതയുടെ അനന്തരഫലങ്ങൾ മൃദുവാക്കാൻ, ഡവലപ്പർ അതിന്റെ വെബ് അപ്ലിക്കേഷനിൽ html ഇഞ്ചക്ഷകളൊന്നും അടങ്ങിയിട്ടില്ലെന്ന് ഉറപ്പാക്കണം. കുത്തിവയ്പ്പുകൾ കണ്ടെത്തിയിട്ടുണ്ടെങ്കിൽ, ആക്രമണകാരിക്ക് ഇമേജ് ടാഗ് എളുപ്പത്തിൽ സജ്ജമാക്കാനും ഉപയോക്താവിനെ റീഡയറക്ടുചെയ്യാനുള്ള ഒരു മാർഗം കണ്ടെത്താനും കഴിയും. അതിനാൽ, എച്ച്ടിടിപി അഭ്യർത്ഥനയുടെ "റഫററർ" തലക്കെട്ടിൽ നിന്ന് കോഡ് മോഷ്ടിക്കാനുള്ള അവസരം അദ്ദേഹത്തിന് ലഭിക്കും.
റീഡയറക്ട്_റി പാരാമീറ്റർ ഉപയോഗിച്ച് OAUTH ടോക്കി മോഷണംOAUAUT സെർവറിൽ ഒരു അഭ്യർത്ഥന അയച്ചുകൊണ്ട് അപ്ലിക്കേഷൻ അംഗീകാര പ്രക്രിയ ആരംഭിക്കുന്നു:
https://www.example.com/signin/authorize? Furenin... [. ]&redrecect_uri=httpps://demo.example.com/loginssion.
ഉപയോക്താവ് സമ്മതം നൽകിയ ശേഷം ആപ്ലിക്കേഷനിലേക്ക് മടങ്ങാൻ അർക്കൻസിലേക്ക് മടക്കിനൽകാത്ത "റീഡയറക്ട്_റി" പാരാമീറ്റർ എല്ലായ്പ്പോഴും അടങ്ങിയിരിക്കുന്നു. ഈ പാരാമീറ്ററിന്റെ മൂല്യം നിയന്ത്രിക്കുകയോ പരിശോധിക്കാതിരിക്കുകയോ ചെയ്താൽ, ആക്രമണകാരിക്ക് അത് എളുപ്പത്തിൽ മാറ്റാൻ കഴിയും, മാത്രമല്ല അതിന്റെ വെബ്സൈറ്റിലേക്കുള്ള അഭ്യർത്ഥന റീഡയറക്ട് ചെയ്യുകയും അത് ടോക്കൺ പ്രോസസ്സ് ചെയ്യുന്നതിനും പരിമിതമായ ഉറവിടത്തിലേക്ക് പ്രവേശിക്കുന്നതിനും കഴിയും.
https://www.example.com/signin/authorize? neignin/authorize? nerede...
ചിലപ്പോൾ സമാനമായ URL- കൾ തടഞ്ഞു. ആക്രമണകാരിക്ക് ഇതുപോലുള്ള ഓപ്പൺ URL- ൽ റീഡയറക്ട്രി ചെയ്യാൻ കഴിയും:
https://www.example.com/oAuth20_authorize.srf? nefte... reveredirect_uri=httpps://actohults.google.com/backultsubttsset://aCtoothsult.com.
അല്ലെങ്കിൽ ഇത്:
https://www.example.com/oAut2/authorize? [...]% iRect_uri = https% 3a% 2f% 2fapps.facebook.com% 2faTker% 2f.
Oauth നടത്തുമ്പോൾ, നിങ്ങൾക്ക് ഒരിക്കലും വൈറ്റ് ലിസ്റ്റിൽ മുഴുവൻ ഡൊമെയ്നുകളും ഉൾപ്പെടുത്താൻ കഴിയില്ല. റീഡയറക്ട് തുറക്കാനുള്ള അഭ്യർത്ഥന റീഡയറക്ട് ചെയ്ത "റീഡയറക്ട്_റി" എന്നതിലേക്ക് കുറച്ച് URL- കൾ മാത്രമേ ചേർക്കേണ്ടൂ.
ക്രോസ്-ലൈൻ അഭ്യർത്ഥനകൾ വ്യാജരേഖ ക്ഷണംഒരു ആക്രമണക്കാരൻ തന്റെ ലിങ്കിൽ ക്ലിക്കുചെയ്യാൻ ഇടയാക്കുമ്പോൾ ഒരു ആക്രമണകാരിക്ക് വിജയിക്കുമെന്നപ്പോൾ സംഭവിക്കാം, അതിനാൽ, അവൻ സൃഷ്ടിക്കാൻ പോകാനായില്ലെന്ന് അഭ്യർത്ഥന സൃഷ്ടിക്കുക. ക്രോസ്-ലൈൻ അഭ്യർത്ഥനകളുടെ വ്യാജമായി സാധാരണയായി CSRF ടോക്കൺ ഉപയോഗിച്ച് മയപ്പെടുത്തി, അത് ഉപയോക്തൃ സെഷനുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. അഭ്യർത്ഥന അയച്ച ഒരു വ്യക്തിയുടെ വ്യക്തിയെ പരിശോധിക്കാൻ ഇത് അപ്ലിക്കേഷനെ സഹായിക്കുന്നു. ഓതർ പ്രോട്ടോക്കോളിലെ "സ്റ്റേറ്റ്" പാരാമീറ്റർ സിഎസ്ആർഎഫ് ടോക്കണായി വർത്തിക്കുന്നു.
ASRF ആക്രമണത്തിൽ സിഎസ്ആർഎഫ് ആക്രമണം നടത്തുന്നത്, ദുർബലതയുടെ ഫലങ്ങൾ ലഘൂകരിക്കാൻ "സ്റ്റേറ്റ്" പാരാമീറ്റർ എങ്ങനെയെന്ന് കാണാൻ ഇത് വിലമതിക്കുന്നു.
ഹാക്കർ ഒരു വെബ് ആപ്ലിക്കേഷൻ തുറന്ന് Ouath ഉപയോഗിച്ച് സേവന ദാതാവിനെ ആക്സസ് ചെയ്യുന്നതിന് അംഗീകാര പ്രക്രിയ ആരംഭിക്കുന്നു. നൽകേണ്ട ആക്സസ്സിലേക്കുള്ള സേവന ദാതാവിനെ അപ്ലിക്കേഷൻ അഭ്യർത്ഥിക്കുന്നു. ആക്സസ് അംഗീകൃതമാക്കുന്നതിന് നിങ്ങൾ സാധാരണയായി നിങ്ങളുടെ ഉപയോക്തൃനാമവും പാസ്വേഡും നൽകേണ്ടതുണ്ട് എന്ന സേവന ദാതാവിന്റെ വെബ്സൈറ്റിലേക്ക് ഹാക്കർ റീഡയറക്ടുചെയ്യും. പകരം, ഹാക്കർ ഈ അഭ്യർത്ഥനയെ പിടിക്കുകയും അതിന്റെ URL സംരക്ഷിക്കുകയും ചെയ്യുന്നു. ഹാക്കർ എങ്ങനെയെങ്കിലും ഇരയുടെ ഈ URL തുറക്കാൻ കാരണമാകുന്നു. ഇരയുടെ അക്കൗണ്ട് ഉപയോഗിച്ച് സേവന ദാതാവിന്റെ സിസ്റ്റത്തിൽ പ്രവേശിച്ചെങ്കിൽ, ഒരു അംഗീകാര കോഡ് നൽകുന്നതിന് അതിന്റെ യോഗ്യതാപത്രങ്ങൾ ഉപയോഗിക്കും. അംഗീകാര കോഡ് കൈമാറ്റം ടോക്കണിലേക്കുള്ള ആക്സസ് കൈമാറ്റം ചെയ്യുന്നു. ഇപ്പോൾ അപ്ലിക്കേഷനിലെ ഹാക്കർ അക്കൗണ്ട് അംഗീകരിക്കപ്പെട്ടിരിക്കുന്നു. ഇതിന് ഇരയുടെ അക്കൗണ്ട് ആക്സസ് ചെയ്യാൻ കഴിയും.
അതിനാൽ, ഈ സാഹചര്യം "സംസ്ഥാന" പാരാമീറ്റർ ഉപയോഗിക്കുന്നത് എങ്ങനെ തടയാം?
ആപ്ലിക്കേഷൻ ഒരു മൂല്യം സൃഷ്ടിക്കണം. ഉദാഹരണത്തിന്, യൂസർ സെഷൻ ഹാഷ് കീ ഉപയോഗിക്കുക) ആപ്ലിക്കേഷൻ ഒരു മൂല്യം സൃഷ്ടിക്കണം. ഇത് അത്ര പ്രധാനമല്ല, പ്രധാന കാര്യം, യഥാർത്ഥ ഉപയോക്താവിനെക്കുറിച്ചുള്ള സ്വകാര്യ വിവരങ്ങൾ ഉപയോഗിച്ച് മൂല്യം അദ്വിതീയവും ജനറേറ്റുചെയ്തതുമാണ് എന്നതാണ് പ്രധാന കാര്യം. ഇത് "സ്റ്റേറ്റ്" പാരാമീറ്ററിലേക്ക് നിയോഗിക്കുന്നു.
റീഡയറക്ടുമ്പോൾ ഈ മൂല്യം സേവന ദാതാവിലേക്ക് കൈമാറ്റം ചെയ്യപ്പെടുന്നു. ഇപ്പോൾ ഹാക്കർ ഇരയെ നിലനിർത്താൻ ഇരയെ ക്ഷണിക്കുന്നു.
അംഗീകാര കോഡ് "സംസ്ഥാന" പാരാമീറ്ററിനൊപ്പം സെഷനിൽ ക്ലയന്റിലേക്ക് അയച്ചു.
ക്ലയന്റ് ഒരു സെഷൻ വിവരങ്ങളെ അടിസ്ഥാനമാക്കി ഒരു പാരാമീറ്റർ മൂല്യം സൃഷ്ടിക്കുകയും സേവന ദാതാവിലേക്കുള്ള അംഗീകാര അഭ്യർത്ഥനയിൽ നിന്ന് തിരിച്ചയച്ച "സ്റ്റേറ്റ്" മൂല്യവുമായി താരതമ്യം ചെയ്യുകയും ചെയ്യുന്നു. ഈ മൂല്യം അന്വേഷണത്തിലെ "സ്റ്റേറ്റ്" പാരാമീറ്ററുമായി പൊരുത്തപ്പെടുന്നില്ല, കാരണം ഇത് നിലവിലെ സെഷനെക്കുറിച്ചുള്ള വിവരങ്ങളുടെ അടിസ്ഥാനത്തിൽ മാത്രമേ ഉത്പാദിപ്പിക്കപ്പെട്ടിട്ടുള്ളൂ. തൽഫലമായി, ലഭിച്ച മൂല്യം സിസ്റ്റം അംഗീകരിക്കുന്നില്ല.
Oavel- ൽ xss (ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്), oate സ്വകാര്യ കീ ക്രമീകരണം ഉപയോഗിച്ച് എക്സ്എസ്എസ് (ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്) നടപ്പിലാക്കുമ്പോൾ (ഒരു മൊബൈൽ ആപ്ലിക്കേഷൻ അപകീർത്തിപ്പെടുത്തുമ്പോൾ, അംഗീകൃത കോഡ് നിയമം), അംഗീകാരം ലഭിക്കുന്നത് (എപ്പോൾ ഒന്നിലധികം ആക്സസ് ടോക്കണുകൾ നൽകുന്നതിന് അംഗീകാര കോഡ് ഒന്നിലധികം തവണ ഉപയോഗിക്കാൻ കഴിയും). ഈ കേടുപാടുകൾ മുകളിൽ വിവരിക്കുന്നതിനേക്കാൾ സാധാരണമാണ്, പക്ഷേ അത് അവരെ അപകടകരമാക്കുന്നില്ല. ഡവലപ്പർ അതിന്റെ വെബ് ആപ്ലിക്കേഷന്റെ വിശ്വസനീയമായ പ്രവർത്തനം ഉറപ്പാക്കുന്നതിന് ആവശ്യമായ എല്ലാ പ്രവർത്തനങ്ങളും അറിഞ്ഞിരിക്കണം.
വിവർത്തനം ചെയ്ത ലേഖനത്തിന്റെ രചയിതാവ്: സൈമൺ സലിബ.
പ്രധാനം! വിവരങ്ങൾ അക്കാദമിക് ആവശ്യങ്ങൾക്കായി മാത്രം. നിയമനിർമ്മാണം അനുസരിക്കുക, നിയമവിരുദ്ധ ആവശ്യങ്ങൾക്കായി ഈ വിവരങ്ങൾ പ്രയോഗിക്കരുത്.
Cisoclub.ru- ൽ കൂടുതൽ രസകരമായ വസ്തുക്കൾ. ഞങ്ങളെ സബ്സ്ക്രൈബുചെയ്യുക: Facebook | വി കെ | Twitter | ഇൻസ്റ്റാഗ്രാം | ടെലിഗ്രാം | Zen | ദൂതന് | ഐസിക് പുതിയത് | YouTube | പൾസ്.