कमजोरहरु ओगु कसरी तपाईंको वेब अनुप्रयोगमा सुरक्षित प्राधिकरण कार्यान्वयन गर्ने

यो लेखले प्रसिद्ध ओउथ फ्रिजहरूको साथ व्यवहार गर्नेछ। पाठकहरूले कसरी वेब अनुप्रयोगमा सुरक्षित र सुरक्षित प्राधिकरण कसरी कार्यान्वयन गर्ने भनेर पनि सिक्दछन्।

ओगु भनेको भरपर्दो प्रोटोकल हो, तर यसको सुरक्षाको डिग्री आधिकारिकरण कार्यान्वयन गर्दा वेब विकासकर्ताहरूको चेतनामा निर्भर गर्दछ। यसले सूचना पेशेवरहरूका लागि यो शीर्षमा अत्यन्त महत्त्वपूर्ण बनाउँदछ। तिनीहरूले आफ्ना प्रयोगकर्ताहरूको खाताहरूको उच्च स्तरको संरक्षण प्रदान गर्न आवश्यक छ। यो प्रभावी चिकित्सकहरूको साथ परिचित हुने समय आएको हो जसले गर्दा अदुत बेच्ने खतरा कम गर्न मद्दत गर्दछ।

परिचय

ओौं 2.0 प्रोटोकोल हाल बिभिन्न अनुप्रयोगहरुमा व्यापक रूपमा प्रयोग गरीन्छ। यसलाई प्रयोग गरेर, एक सुविधाजनक प्रयोगकर्ता इन्टरफेस उपलब्ध, कम प्रमाणीकरण र प्रयोगकर्ता नाम र पासवर्ड प्रविष्ट गर्नका लागि परम्परागत विधिहरू समावेश हुन्छ। उचित र सोचकारी कार्यान्वयनको साथ परम्परागत प्राधिकरण भन्दा धेरै सुरक्षित हुनेछ, किनकि प्रयोगकर्ताहरूले एक खास स्रोत पहुँच गर्न तेस्रो-पक्ष अनुप्रयोगको साथ आफ्नो लेखा डाटा साझा गर्न आवश्यक पर्दैन। प्रयोगकर्ताहरू प्राय: उनीहरूको गुगल खाताहरू, फेसबुक वा लिंडर्सिन प्रयोग गरेर लग गर्न रुचाउँछन्, नयाँ खाता सिर्जना गर्नुको सट्टा केहि वेब साइटमा दर्ता गर्न आवश्यक छ। यसैले, ओउथ प्रोटोकल हाम्रो जीवन सरल तुल्याउँछ।

सामान्यतया, लोकप्रिय ओभ्यान्ड सेवा प्रदायकहरू धेरै भरपर्दो छन्। गुगल वा फेसबुक खाताले सुरक्षाको निश्चित भावनालाई प्रेरणा दिन्छ, र यो सहि छ। प्रोटोकल विज्ञहरू द्वारा ध्यानपूर्वक परीक्षण गरिएको छ। सबै उपलब्ध कमजोरीहरू सँधै द्रुत रूपमा विकासकर्ता टोलीले सुधार्छन्। यद्यपि यो ध्यान दिएन कि पूर्ण सुरक्षाको भावना गलत हुन सक्छ।

Oauth सेवा प्रदायकहरु बाँकी अनुप्रयोग विकासकर्ताहरु को लागी धेरै कारणहरु को लागी एक कारणहरु को लागी आफ्नो कार्यक्रमहरु को सुरक्षा को लागी। सुरुमा, प्रारम्भिक ओहत सेवा, यसको स्थापनाको प्रक्रियामा गलत रूपमा कार्यान्वयन गरिएको, घुसपैठकर्ताहरूको लागि सजिलो लक्ष्य हुन सक्छ। यस्तो पूर्वावधानकर्ताले प्रयोगकर्ताहरूको व्यक्तिगत डेटा चोरीलाई निम्त्याउँदछ।

अर्को, तपाईंले तीन-पार्टी अनुप्रयोगहरूमा भएको तेस्रो-पक्ष अनुप्रयोगहरूमा भएको तेस्रो-पार्टी अनुप्रयोगहरूमा सामना गर्ने तीनवटा भित्ताहरू विचार गर्नु पर्छ जुन उनीहरूको प्रयोगकर्ताहरूलाई अधिकृत गर्न outh प्रोटोकल लागू गर्दछ। यो सम्झनु पर्दछ कि प्रोटोकल आफै सुरक्षित र भरपर्दो छ। केवल गलत कार्यान्वयन पछि, यो ह्याकर आक्रमणको जोखिममा पर्दछ।

ओउथ succkee Ust रेफरर हेडर प्रयोग गरेर

जब अनुप्रयोगले ओओथ सर्भरमा प्रयोगकर्ताको तर्फबाट प्राधिकरण अनुरोध गर्दछ, एक व्यक्तिले कोड प्रविष्ट गर्न को लागी र यसको पछिको चेकको लागि सर्वरमा फिर्ता पठाउँदछ। यदि कामका क्रममा प्रयोगकर्तालाई अर्को पृष्ठमा पुनःनिर्देशित गरिनेछ भने, कोड "रेफर्ट" को हेडरमा "रेफरचरमा" देखिनेछ। यसैले कोड बाह्य वेबसाइटमा खस्नेछ, जसले ओउथ सर्वरमा दर्ता गरिएको प्रयोगकर्ता डाटालाई धम्की दिन्छ।

नोट: रेफरर हेडर एक http क्वेरी हेडर हो, यसले URL होस्ट प्रसारित गर्दछ जुन अनुरोध पठाइएको छ।

यस वेगनको नतिजा नरम गर्न, विकासकर्ताले यो निश्चित गर्नुपर्दछ कि कुनै HTML ईन्जेक्शन समावेश गर्दैन। यदि ईन्जेक्सनहरू पत्ता लगाइयो भने, आक्रमणकर्ताले सजिलैसँग छवि ट्याग सजीलै यसको वेब सर्वरमा सेट गर्न सक्दछ र यसमा प्रयोगकर्तालाई पुनःनिर्देशन गर्ने तरिका फेला पार्न सकिन्छ। तसर्थ, उसले "RESSPT अनुरोधको आक्रोशबाट कोड चोरी गर्ने अवसर प्राप्त गर्नेछ।

रिडिफाईक्रिप्ट_उली प्यारामिटर प्रयोग गरेर outh seckke चोरी

अनुप्रयोगले ओउथ सर्वरमा अनुरोध पठाउँदै प्राधिकरण प्रक्रिया शुरू गर्यो:

https://www.example.com/signien/sforize? (छोडिरे_ईज_उक्रेडी_उटिक्स_रोइम मीटप्स :// देवीएम.एक्सएक्सल.करी।

क्वेरीलाई सँधै "रिडिरेक्ट_री" समावेश गर्दछ Ouuth सर्भर द्वारा प्रयोग गरिएको प्यारामिटरले प्रयोगकर्तालाई फिर्ता पठाउन प्रयोगकर्ताले आफ्नो सहमति दिए पछि आवेदन दिँदै। यदि यस प्यारामिटरको मान नियन्त्रण गरिएको छैन वा जाँच गरिएको छैन भने, आक्रमणकर्ताले सजिलैसँग यसलाई परिवर्तन गर्न सक्दछ र टोकन गर्न अनुरोध पुनःनिर्देशित गर्न सक्दछ, जहाँ यसले सीमित स्रोतमा पहुँचको लागि विशेष कार्यक्रम प्रयोग गर्दछ।

https://www.example.com/signien/sorexize? (छोडिरे_ईज_उचिसी मीटप्स :///locullhipps ://llullhost.evalshil.cevil.chvel.com.

कहिलेकाँही समान URL ब्लक गरिएको छ। आक्रमणकर्ताले खुला यूआरएलमा प्राप्त डाटालाई पुनःनिर्माण गर्न सक्दछ, जस्तै:

https://www.example.com/oauth20_authorize.srf?[...[&redirect_uri=httpps://accounts.google.com/backtoouthsubtarget?next=httpset://evil.com।

वा यो:

https://www.example.com/suth2/sorefulne. [...]% im upplie = https% 2 एफटीएक्स% 2 एफटी 2 एफएफएस 2f 2fattacker% 2ftttacker% 2f।

ओबु लागू गर्दा, तपाईं सेतो सूचीमा सम्पूर्ण डोमेनहरू कहिले पनि समावेश गर्न सक्नुहुन्न। केवल केही URLs "Redirect_ouni" लाई रिडिरेक्ट खोल्न अनुरोध पुनःनिर्देशित गर्नु हुँदैन।

क्रस-लाइन अनुरोधहरूको उच्चारण

एक कार्यदृष्टि अनुरोध को लाभ हुन सक्छ जब पीडितलाई उसको लिंकमा क्लिक गर्न र उसले उत्पन्न गर्ने अनुरोधलाई बिन्ती उत्पन्न गर्नमा आक्रमणकर्ता सफल हुन्छ। क्रस-लाइन अनुरोधहरूको लागि प्राय: CSRF टोकनसँगै नरम हुन्छ, जुन प्रयोगकर्ता सत्रसँग सम्बन्धित छ। यसले अनुप्रयोगलाई अनुरोध पठाएको व्यक्तिको व्यक्तिलाई जाँच गर्न मद्दत गर्दछ। Outh प्रोटोकोलमा "राज्य" प्यारामिटर CSRF टोकन को रूप मा सेवा गर्दछ।

SSRF हमला ओयू मा कसरी गरिन्छ र "राज्य" प्यारामिटरले जोखिमहरूको प्रभावलाई कम गर्न प्रयोग गर्न सकिन्छ।

ह्याकरले वेब अनुप्रयोग खोल्छ र ओबुत प्रयोग गरेर सेवा प्रदायक पहुँच गर्न आधिकारिक प्रक्रिया सुरू गर्यो। अनुप्रयोगले एक सेवा प्रदायकलाई पहुँच गर्न अनुरोध गर्दछ जुन प्रदान गर्न आवश्यक छ। ह्याकर सेवा प्रदायक वेबसाइटमा पुनःनिर्देशित हुनेछ, जहाँ तपाईं सामान्यतया पहुँच प्रदान गर्न तपाईंको प्रयोगकर्ता नाम र पासवर्ड प्रविष्ट गर्नु आवश्यक छ। यसको सट्टामा, ह्याककर क्याचहरू र यस अनुरोधलाई रोक्छ र यसको URL बचत गर्दछ। ह्याककरले पीडितलाई यस युआरएल खोल्नका लागि कारण दिन्छ। यदि पीडितले सेवा प्रदायकको प्रणाली प्रयोग गरेर सेवा प्रदायकको प्रणालीमा प्रवेश गरे भने, त्यसपछि यसको प्रमाणहरू एक प्राधिकरण कोड जारी गर्न प्रयोग गरिनेछ। आधिकारिक कोड पहुँच एक्सचेन्जहरू पहुँच टोकनमा पहुँच। अब अनुप्रयोगमा ह्याकर खाता अधिकृत छ। यसले पीडितको खातामा पहुँच गर्न सक्दछ।

त्यसोभए, म कसरी यस्तो अवस्थालाई "राज्य" प्यारामिटर प्रयोग गरेर रोक्न सक्छु?

अनुप्रयोगले एक मान बनाउनु पर्छ जुन कुनै प्रकारका स्रोत खातामा आधारित छ (उदाहरणका लागि, प्रयोगकर्ता सत्र ह्यास कुञ्जी प्रयोग गर्नुहोस्)। यो के हो यो यति महत्त्वपूर्ण छैन, मुख्य कुरा यो हो कि मान अद्वितीय छ र मूल प्रयोगकर्ताको बारेमा निजी जानकारी प्रयोग गरी उत्पन्न भयो। यो "राज्य" प्यारामिटरलाई तोकिएको छ।

यो मान पुन: प्राप्ति गर्दा सेवा प्रदायकमा प्रसारित हुन्छ। अब ह्याकरले पीडितलाई युआरएल खोल्नको लागि आमन्त्रित गर्दछ, जुन उसले राख्यो।

प्राधिकरण कोड जारी गरिएको छ र "राज्य" प्यारामिटरसँग सत्रमा ग्राहकलाई फिर्ता पठाइएको छ।

ग्राहकले सत्र जानकारीमा आधारित प्यारामिटर मान उत्पन्न गर्दछ र यसलाई "राज्य" मूल्यको साथ तुलना गर्दछ जुन सेवा प्रदायकलाई प्राधिकरण अनुरोधबाट फिर्ता पठाइएको थियो। यस मान क्वेरीमा "राज्य" प्यारामिटरसँग मेल खाँदैन, किनकि यो हालको सत्रको बारेमा जानकारीको आधारमा मात्र उत्पन्न गरिएको छ। नतिजा स्वरूप, प्राप्त मान प्रणाली द्वारा स्वीकार छैन।

OUB लागू गर्दा अन्य फलहरू पत्ता लगाइयो (रिडरेक्ट_री "REPRITE_URI" प्यारामिटर प्रयोग गर्ने क्षमता, ओउथ निजी कुञ्जी सेटिंग्स (जब प्राधिकरण कोड धेरै पहुँच टोकनहरू जारी गर्न एक पटक भन्दा बढी प्रयोग गर्न सकिन्छ)। यी कमजोरीहरू माथि वर्णन गरिएको भन्दा कम सामान्य छ, तर यसले उनीहरूलाई कम खतरनाक बनाउँदैन। विकासकर्ताले सबै आवश्यक अभ्यासहरू जान्नुपर्दछ विश्वभर यसको वेब अनुप्रयोगको भरपर्दो अपरेशन सुनिश्चित गर्न।

अनुवादित लेख को लेखक: शिमोन सालिबा।

महत्वपूर्ण! जानकारी केवल शैक्षिक उद्देश्यका लागि। कृपया कानूनको पालना गर्नुहोस् र अवैध उद्देश्यका लागि यो जानकारी लागू नगर्नुहोस्।

Cisclulub.ra मा अधिक चाखलाग्दो सामग्री। सदस्यता लिनुहोस्: फेसबुक | Vk | ट्विटर | इन्स्टाग्राम | टेलीग्राम Zen | मेसेजर | आईसीक्यू नयाँ | YouTube | नाडी।