Dan l-artikolu jittratta l-vulnerabbiltajiet tal-OAuth magħrufa sew. Il-qarrejja jitgħallmu wkoll kif jimplimentaw awtorizzazzjoni sigura u sigura fl-applikazzjoni tal-web.
OAuth huwa protokoll affidabbli, iżda l-grad ta 'sigurtà tiegħu jiddependi ħafna fuq l-għarfien tal-iżviluppaturi tal-web meta jimplimenta l-awtorizzazzjoni. Dan jagħmel dan is-suġġett importanti ħafna għall-professjonisti tas-sigurtà tal-informazzjoni. Għandhom jipprovdu livell għoli ta 'protezzjoni tal-kontijiet tal-utenti tagħhom. Wasal iż-żmien li niffamiljarizzaw ma 'prattikanti effettivi li jgħinu jnaqqsu l-periklu ta' oAuth tal-bejgħ fqir.
IntroduzzjoniOAuth 2.0 protokoll bħalissa jintuża ħafna f'diversi applikazzjonijiet. L-użu tiegħu, interface tal-utent konvenjenti jsir disponibbli, awtentikazzjoni u awtorizzazzjoni aktar faċli meta mqabbla ma 'metodi tradizzjonali biex tidħol fil-username u l-password. Bi implimentazzjoni xierqa u maħsub, il-Protokoll Oauth se jkun aktar sikur minn awtorizzazzjoni tradizzjonali, peress li l-utenti ma jeħtiġux li jaqsmu d-dejta tal-kontabilità tagħhom ma 'applikazzjoni għal parti terza biex ikollhom aċċess għal riżorsa speċifika. L-utenti ta 'spiss jippreferu jidħlu fl-użu tal-kontijiet tal-Google tagħhom, Facebook jew LinkedIn, minflok ma joħolqu kont ġdid kull darba li għandek bżonn tirreġistra fuq xi websajt. Għalhekk, il-Protokoll Oauth jissimplifika ħafna ħajjitna.
B'mod ġenerali, il-fornituri popolari tas-servizz OAuth huma affidabbli ħafna. Idħol mal-kont Google jew Facebook jispira ċertu sens ta 'sigurtà, u huwa korrett. Il-protokoll huwa ttestjat bir-reqqa minn esperti. Il-vulnerabbiltajiet kollha disponibbli huma dejjem ikkoreġuti malajr mit-tim tal-iżviluppatur. Madankollu, ta 'min jinnota li s-sentiment ta' sigurtà sħiħa jista 'jkun falz.
Il-fornituri tas-servizzi tal-OAuth ħallew l-iżviluppaturi tal-applikazzjoni ħafna raġunijiet biex isostnu s-sigurtà tal-programmi tagħhom. Fil-fatt, is-servizz tal-OAuth protett inizjalment, implimentat ħażin fil-proċess tal-installazzjoni tiegħu, jista 'jsir mira faċli għall-intruders. Tali preokkupazija se twassal għall-serq ta 'data personali tal-utenti.
Sussegwentement, għandek tqis l-iktar vulnerabbiltajiet komuni li nqalgħu f'applikazzjonijiet ta 'partijiet terzi li jimplimentaw OAuth Protokoll biex jawtorizzaw lill-utenti tagħhom. Għandu jiġi mfakkar li l-Protokoll innifsu huwa sigur u affidabbli. Wara l-implimentazzjoni mhux korretta, din issir vulnerabbli għall-attakki tal-hacker.
Oauth Tokkey Serq bl-użu tal-Header ReferentMeta l-applikazzjoni titlob awtorizzazzjoni f'isem l-utent fil-OAuth Server, persuna tirċievi l-kodiċi biex tidħol u tibgħat lura lill-server għall-kontroll sussegwenti tagħha. Jekk matul ix-xogħol l-utent ser jiġi dirottat lejn paġna oħra, il-kodiċi se jidher fil- "referer" header tat-talba HTTP. Għalhekk, il-kodiċi se jaqa 'fuq il-websajt esterna, li se jhedded id-dejta tal-utent irreġistrata fuq is-server Oauth.
Nota: Il-header referer huwa header http mistoqsija, dan jittrasmetti l-ospitanti URL li minnu tintbagħat it-talba.
Biex ittaffi l-konsegwenzi ta 'din il-vulnerabbiltà, l-iżviluppatur għandu jiżgura li l-applikazzjoni tal-web tagħha ma fiha l-ebda injezzjoni HTML. Jekk instabu l-injezzjonijiet, l-attakkant jista 'faċilment jistabbilixxi l-istampi fuq il-web server tiegħu u jsib mod biex idawwar l-utent fuqu. Għalhekk, hu se jikseb l-opportunità li jisraq il-kodiċi mill-header "referer" tat-talba HTTP.
Serq oauth tockey bl-użu tal-parametru redirect_uriL-applikazzjoni tibda l-proċess ta 'awtorizzazzjoni billi tibgħat talba lill-OAuth Server:
https://www.example.com/signin/authorize ?[...]&resirect_uri=httpps://Demo.example.com/logsuncessful.
Il-mistoqsija dejjem fiha l-parametru "Redirect_uri" użat mill-OAuth Server biex tibgħat tokens lura għall-applikazzjoni wara li l-utent ta l-kunsens tiegħu. Jekk il-valur ta 'dan il-parametru ma jkunx ikkontrollat jew mhux iċċekkjat, l-attakkant jista' faċilment ibiddluh u jdawwar it-talba għall-websajt tiegħu, fejn juża programm speċjali għall-ipproċessar tat-token u jikseb aċċess għal riżorsa limitata.
https://www.example.com/signin/authorize ?[...]&redirect_uri=httpps://localhost.evil.com.
Kultant URLs simili huma mblukkati. L-attakkant jista 'jdawwar id-data riċevuta fuq il-URL miftuħ, bħal din:
https://www.example.com/oauth20_authorize.Srf?[...[ínar
Jew dan:
https://www.example.com/oauth2/authorize? [...]% Irect_uri = https% 3a% 2f% 2Fapps.Facebook.com% 2FATTACKER% 2F.
Meta jimplimentaw OAuth, qatt ma tista 'tinkludi dominji sħaħ fil-lista bajda. Ftit URLs biss għandhom jiġu miżjuda ma '"Redirect_uri" mhux ridiret talba biex tiftaħ direzzjoni mill-ġdid.
Falsifikazzjoni ta 'talbiet cross-lineFalsifikazzjoni ta 'talba għall-bright tista' sseħħ meta attakkant jirnexxi li jagħmel il-vittma li tikklikkja fuq il-link tiegħu u, għalhekk, biex jiġġenera talba li ma kienx se jiġġenera. Falsifikazzjoni ta 'talbiet cross-line huwa normalment imrattab mal-cSRF token, li huwa assoċjat mas-sessjoni tal-utent. Jgħin l-applikazzjoni biex tivverifika l-persuna ta 'persuna li bagħtet it-talba. Il-parametru "Stat" fil-Protokoll Oauth iservi bħala Token CSRF.
Ta 'min jara kif l-attakk CSRF jitwettaq fuq OAuth u bħala l-parametru "Stat" jista' jintuża biex jittaffew l-effetti tal-vulnerabbiltà.
Hacker jiftaħ applikazzjoni tal-web u jniedi l-proċess ta 'awtorizzazzjoni biex jaċċessa l-fornitur tas-servizz bl-użu ta' OAuth. L-applikazzjoni titlob fornitur ta 'servizz għall-aċċess li jeħtieġ li jiġi provdut. Il-Hacker ser jiġi dirottat lejn il-websajt tal-fornitur tas-servizz, fejn normalment ikollok bżonn tidħol il-username u l-password tiegħek biex tawtorizza l-aċċess. Minflok, il-Hacker jaqbad u jipprevjeni din it-talba u jiffranka l-URL tagħha. Hacker b'xi kawżi li l-vittma tiftaħ dan il-URL. Jekk il-vittma daħlet fis-sistema tal-fornitur tas-servizz billi tuża l-kont tagħha, allura l-kredenzjali tagħha ser jintużaw biex joħorġu kodiċi ta 'awtorizzazzjoni. Il-kodiċi tal-awtorizzazzjoni jiskambja aċċess għat-token tal-aċċess. Issa l-kont tal-hacker fl-applikazzjoni huwa awtorizzat. Jista 'jkollu aċċess għall-kont tal-vittma.
Allura, kif nista 'nevita din is-sitwazzjoni billi nuża l-parametru "Stat"?
L-applikazzjoni għandha toħloq valur li huwa b'xi mod ibbażat fuq il-kont tas-sors (per eżempju, uża l-muftieħ tal-hash tas-sessjoni tal-utent). Mhuwiex daqshekk importanti x'inhu, il-ħaġa prinċipali hija li l-valur huwa uniku u ġġenerat bl-użu ta 'informazzjoni privata dwar l-utent oriġinali. Huwa assenjat lill-parametru ta '"Stat".
Dan il-valur huwa trasmess lill-fornitur tas-servizz meta jerġa 'jindirizza. Issa l-Hacker jistieden lill-vittma li tiftaħ il-URL, li żamm.
Il-kodiċi tal-awtorizzazzjoni jinħareġ u jintbagħat lura lill-klijent fis-sessjoni flimkien mal-parametru tal- "Stat".
Il-klijent jiġġenera valur parametru bbażat fuq informazzjoni sessjoni u jqabbel ma 'l- "istat" valur, li ntbagħtet lura mill-talba awtorizzazzjoni lill-fornitur tas-servizz. Dan il-valur ma jaqbilx mal-parametru "Stat" fil-mistoqsija, peress li ġie ġġenerat biss fuq il-bażi ta 'informazzjoni dwar is-sessjoni kurrenti. Bħala riżultat, il-valur miksub mhux aċċettat mis-sistema.
Vulnerabilitajiet oħra misjuba meta jimplimentaw OAuth jinkludu l-abbiltà li jwettqu XSS (cross-sit scripting) bl-użu tal-parametru "Redirect_uri", l-iffissar ta 'ċavetta privat oauth (il-muftieħ jista' xi kultant jinkiseb meta dekompilazzjoni ta 'applikazzjoni mobbli) u l-kodiċi tal-awtorizzazzjoni vjolazzjoni (meta Il-kodiċi tal-awtorizzazzjoni jista 'jintuża iktar minn darba li joħroġ tokens ta' aċċess multiplu). Dawn il-vulnerabbiltajiet huma inqas komuni minn dawk deskritti hawn fuq, iżda ma jagħmilhomx inqas perikolużi. L-iżviluppatur għandu jkun jaf il-prattiki kollha meħtieġa biex jiżgura tħaddim affidabbli tal-applikazzjoni tal-web tiegħu.
L-awtur tal-artiklu tradott: Simon Saliba.
Importanti! Informazzjoni biss għal skopijiet akkademiċi. Jekk jogħġbok konformi mal-leġiżlazzjoni u ma japplikawx din l-informazzjoni għal skopijiet illegali.
Materjal aktar interessanti fuq cisoclub.ru. Abbona għalina: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Ġdid | YouTube | Impuls.