ڪمزوريون واٽا | توهان جي ويب ايپليڪيشن ۾ محفوظ اختيارين کي ڪيئن لاڳو ڪجي

اهو آرٽيڪل معروف اوٿٿ جي ڪمزورين سان معاملو ڪندو. پڙهندڙن کي به سکيو ته ويب ايپليڪيشن ۾ محفوظ ۽ محفوظ باخبر رکڻ ڪيئن ڪيئن لاڳو ڪجي.

oauth هڪ قابل اعتماد پروٽوڪول آهي، پر اهو سيڪيورٽي جو درجو گهڻو ڪري ويب ڊولپرز جي شعور ويب ڊولپرز جي شعور تي منحصر آهي. اهو موضوع کي سيڪيورٽي پروفيشنلز لاء تمام گهڻو اهم بڻائي ٿو. انهن کي انهن جي استعمال ڪندڙن جي اڪائونٽن جي حفاظت جي اعلي سطح فراهم ڪرڻ جي ضرورت آهي. اهو وقت آهي اثرائتي عملي سان واقف ٿيڻ وارن سان گڏ جيڪي غريب وڪرو ڪرڻ جي خطري کي گهٽائڻ ۾ مدد ڏيندو.

شارف

اوتيو 2.0 پروٽوڪول هن وقت وڏي پيماني تي مختلف ايپليڪيشنن ۾ استعمال ڪيو ويو آهي. ان کي استعمال ڪندي هڪ آسان صارف جو نالو ۽ يوزر نيم ۽ پاسورڊ داخل ڪرڻ لاء روايتي طريقن جي مقابلي ۾ آسان ۽ اختيار. مناسب ۽ معقول عملن سان، اويوٿ پروٽوڪول سان گڏ، معنى پروٽوڪول کان محفوظ هوندو، جڏهن ته صارفين کي پنهنجي اڪائونٽنگ ڊيٽا کي هڪ مخصوص وسيلن تائين رسائي حاصل ڪرڻ جي ضرورت ناهي. صارف اڪثر ڪري گوگل ويب سائيٽ ٺاهڻ جي لاء توهان جي گوگل اڪائونٽس ٺاهڻ جي بدران صارفين کي پنهنجو گوگل اڪائونٽس ٺاهڻ جي بدران لاگ ان ڪرڻ چاهيندا آهن. اهڙي طرح، اوٿ پروٽوڪول اسان جي زندگي کي آسان ڪندو آهي.

عام طور تي، مشهور OPTE سروس تمام گهڻو قابل اعتماد آهي. گوگل يا فيسبوڪ اڪائونٽ سان لاگ ان ٿيو سيڪيورٽي جي هڪ خاص احساس کي متاثر ڪري ٿو، ۽ اهو صحيح آهي. پروٽوڪول ماهرن طرفان احتياط سان جانچيو ويندو آهي. سڀ دستياب مشڪلاتي طور تي ڊولپر ٽيم طرفان جلد ئي صحيح طور تي درست ڪيا ويا آهن. بهرحال، اهو سمجهڻ جي قابل آهي ته مڪمل حفاظت جو احساس غلط ٿي سگهي ٿو.

OATHE سروس فراهم ڪندڙن کي ڇڏي ڏنو ويو ڊولپرز کي پنهنجي پروگرامن جي حفاظت جو سبب بڻيو. اصل ۾، شروعاتي طور تي محفوظ ڪيل اوٿ سروس، غلط طريقي سان ان جي انسٽاليشن جي عمل ۾ لاڳو ٿي سگهي ٿو، مداخلت ڪندڙن لاء هڪ آسان مقصد بڻجي سگهي ٿو. اھڙا اڳڀرائي استعمال ڪندڙن جي ذاتي ڊيٽا جي چوري جو سبب بڻجي ويندو.

اڳيون، توهان کي اضافي پارٽي جي درخواستن ۾ سڀني فيون فيصلن سان مڪمل ڀروسو ڪرڻ گهرجي، ته سوشلزڪ پروفاٽ لاڳو ٿين انهن جي صارفين کي اختيار ڏئي سگهن ٿيون. اهو ضرور ياد رکڻ گهرجي ته پروٽوڪول پاڻ محفوظ ۽ قابل اعتماد آهي. صرف غلط عمل درآمد کان پوء، اهو هيڪر حملي جو شڪار ٿي ويندو آهي.

oauth Tocyey چورائي شماري واري هيڊر کي استعمال ڪندي

جڏهن درخواست اوٿٿ سرور تي صارف جي طرفان اختيارين جي درخواست ڪئي وئي آهي، هڪ شخص کي داخل ٿيڻ ۽ بعد ۾ چيڪ لاء داخل ٿيڻ لاء ڪوڊ داخل ڪرڻ لاء ڪوڊ حاصل ڪري ٿو. جيڪڏهن ڪم دوران صارف کي ٻئي صفحي تي ريڊ ڪيو ويندو، ڪوڊ جي درخواست جي "ريفرر" ۾ ڪوڊ "ڏٺو ويندو. ان طرح، ڪوڊ ٻاهرين ويب سائيٽ تي چڙھليندا، جيڪو صارف جي ڊيٽا کي اوٽ ويلر تي رجسٽر ٿيل ٿيندو.

ياداشت: ريفرڊر هيڊر هڪ http سوال آهي، اهو يو آر ايل ميزبان کي منتقل ڪري ٿو جنهن جي درخواست آهي.

هن ڪمزورين جي نتيجن کي نرم ڪرڻ لاء، ڊولپر کي يقيني بڻائڻ لازمي آهي ته ان جي ويب ايپليڪيشن ۾ ڪنهن به HTML انجڻ نه هوندي آهي. جيڪڏهن انجيڪشن معلوم ڪيا ويا، حملو ڪندڙ آسانيء سان پنهنجي ويب سرور کي پنهنجي ويب سرور تي محفوظ ڪري سگهي ٿو ۽ صارف کي ٻيهر ترتيب ڏيڻ جو رستو ڳوليو. ان ڪري، هن کي HTTP درخواست جي "ريفرڊر" ريفرڊر کان ڪوڊ چوري ڪرڻ جو موقعو ملندو.

اوتٿ ٽوڪيٽر چوري کي ريڊائر_وري پيٽرولر استعمال ڪندي

درخواست او ايٿ سرور کي درخواست موڪلڻ سان اجازت نامو شروع ڪري ٿو.

HTTPS://www.example.com/sigin/authoizeks/deredert_urt.extoples.extoplestss.

سوال هميشه "ريڊائر_وري سرور طرفان استعمال ٿيل صارف طرفان استعمال ٿيل صارف کي واپس اچڻ کان پوء ٽوڪن کي واپس ڏيڻ لاء استعمال ڪيو ويو. جيڪڏهن هن پيٽرولر جي قيمت قابو نه رکي يا چيڪ ڪيو وڃي يا ان بردہد سادو ان کي پروسيس ڪرڻ لاء هڪ خاص پروگرام استعمال ڪري سگهي ٿو ۽ محدود نقل جي رسائي استعمال ڪيو وڃي ۽ محدود پئڪي پروگرام کي پروسيس ڪرڻ جو هڪ خاص پروگرام استعمال ڪري سگهي ٿو ۽ محدود نه ڪيل انهن جي ويب سائيٽ تي رسائي استعمال ڪرڻ لاء هڪ خاص پروگرام استعمال ڪري سگهي ٿو. جتي هن پيلنس ۾ رسائي جي درخواست جو هڪ خاص پروگرام استعمال ڪري سگهي ٿو ۽ محدود ۽ محدود نه ٿيندو آهي.

https://www.example.com/signin/authoieie؟ ach &.elarert_urtlast.com.

ڪڏهن ڪڏهن ساڳيا يو آر ايل بلاڪ ڪيا ويا آهن. حملو ڪندڙ اوپن يو آر ايل تي وصول ٿيل ڊيٽا کي ٻيهر منتقل ڪري سگھن ٿا، هن طرح:

HTTPS://www.example.com/aauthour.chize.srf suckst_rhtifts.ghttoptsultsucts

يا اهو:

http://www.example.com/oauth2/utehoze؟ [...] HETE_UTIP = HTTPS٪ 2F٪ 2F٪ 2F.faceple.com٪ 2f.

جڏهن اوت کي لاڳو ڪرڻ، توهان ڪڏهن به وائيٽ لسٽ ۾ ڪڏهن به س domans ا ڊومين شامل نٿا ڪري سگهو. صرف ڪجهه يو آر ايلز کي "ريڊائر_وري" ۾ شامل ڪيو وڃي هڪ ريڊريڪٽ کي کولڻ جي درخواست نه ڏني.

ڪراس لائن جي درخواستن جي بخشش

هڪ انتشار جي درخواست جي جعلسازي ٿي سگهي ٿي جڏهن ڪو حملو ڪندڙ هن جي لنڪ تي ڪلڪ ڪرڻ ۾ ڪامياب ٿي وڃي، ان ڪري، انهي کي هڪ درخواست ٺاهڻ لاء. ڪراس ڪال جي درخواستن جي جعلي عام طور تي سي ايس آر ايف ٽوڪن سان ڀريل آهي، جيڪو صارف جي سيشن سان جڙيل آهي. اهو ايپليڪيشن جي شخص کي جانچڻ لاء درخواست جي مدد ڪري ٿو جنهن درخواست موڪلي. "اسٽيٽ" پيٽرولر OATH پروٽوڪول ۾ پي ايس آر ايف ٽوڪن طور ڪم ڪري ٿو.

اهو ڏسڻ جي قابل آهي سي ايس آر ايف جي حملي کي اوٿيوٽ تي ڪيو ويو آهي ۽ جيئن ته "اسٽيٽ" پيرا ميٽرز جي اثرن جي اثر کي گهٽائڻ لاء استعمال ڪري سگهجي ٿو.

هيڪر هڪ ويب ايپليڪيشن کوليندو آهي ۽ OATHUR فراهم ڪندڙ کي استعمال ڪندي سروس فراهم ڪندڙ تائين رسائي حاصل ڪرڻ جي اجازت حاصل ڪري ٿو. درخواست فراهم ڪندڙ کي رسائي فراهم ڪرڻ جي درخواست ڪري ٿي انهي جي ضرورت آهي. هيڪر سروس فراهم ڪندڙ ويب سائيٽ تي ريڊ ڪيو ويندو، جتي توهان عام طور تي رسائي حاصل ڪرڻ لاء پنهنجو صارف نام ۽ پاسورڊ داخل ڪرڻ جي ضرورت آهي. ان جي بدران، هيڪر کي پڪڙي ٿو ۽ هن درخواست کي روڪي ٿو ۽ ان جو يو آر ايل بچائي ٿو. هيڪر ڪنهن طرح هن يو آر ايل کي کولڻ جو سبب بڻجندو آهي. جيڪڏهن مقتول سروس فراهم ڪندڙ جي سسٽم کي پنهنجو اڪائونٽ استعمال ڪندي داخل ڪيو، پوء ان جي سند هڪ اختيار واري ڪوڊ جاري ڪرڻ لاء استعمال ڪيو ويندو. اجازت واري ڪوڊ تائين رسائي جي رسائي تائين رسائي جو ڪوڊ. هاڻي ايپليڪيشن ۾ هيڪر اڪائونٽ اختيار ڏنل آهي. اهو مقتول جي کاتي تائين رسائي ڪري سگهي ٿو.

تنهن ڪري، مان هن صورتحال کي "اسٽيٽ" پيرا ميٽر استعمال ڪري سگهان ٿو؟

درخواست لازمي طور تي هڪ قدر پيدا ڪرڻ لازمي آهي جيڪو ڪنهن طرح سورس اڪائونٽ جي بنياد تي آهي (مثال طور، صارف جي سيشن هاش کي استعمال ڪريو). اهو ايترو ضروري ناهي، اهو آهي، بنيادي شيء اها آهي ته اصلي صارف کي اصل صارف بابت پرائيويٽ معلومات استعمال ڪندي پيدا ڪيو ويو آهي. اهو "اسٽيٽ" پيرا ميٽر کي تفويض ڪيو ويو آهي.

اها قيمت سروس فراهم ڪندڙ کي منتقل ڪيو ويو آهي جڏهن ريڊرائٽنگ. هاڻي هيڪر کي يو آر ايل کي کولڻ جي دعوت ڏئي ٿو، جنهن کي هن برقرار رکيو.

اختيار ڪيل ڪوڊ جاري ڪيو ويو آهي ۽ "رياست" پيرا ميٽر سان گڏ سيشن ۾ واپس موڪليو ويو آهي.

گراهڪ هڪ سيشن جي معلومات جي بنياد تي هڪ پيمراج ويليو ٺاهي ٿو ۽ "رياست" ويليو سان مقابلو ڪري ٿو، جيڪو سروس فراهم ڪندڙ جي درخواست کان واپس موڪليو ويو. هي قيمت سوال ۾ "رياست" پيمائش "سان مطابقت نه رکي، جڏهن ته موجوده سيشن جي بنياد تي صرف معلومات جي بنياد تي پيدا ڪيو ويو آهي. نتيجي طور، حاصل ڪيل قيمت سسٽم طرفان قبول نه ڪئي وئي آهي.

"ريفٽ کي لاڳو ڪرڻ دوران ياداشت کي لاڳو ڪرڻ جي لاء ٻيا ڪمزوريون (ڪرڪيٽ_وري پرائيويٽ ڪيڊ سيٽنگ) استعمال ڪرڻ جي اجازت نه هوندي ڪيترن ئي رسائي ٽوڪن کي جاري ڪرڻ لاء هڪ ئي کان وڌيڪ هڪ ڀيرو استعمال ڪري سگهجي ٿو. اهي فحاا جيڪي مٿي بيان ڪيل بيان ڪيل کان گهٽ عام آهن، پر اهو انهن کي گهٽ خطرناڪ نه بڻائيندو آهي. ڊولپر کي ان جي ويب ايپليڪيشن جي معتبر آپريشن کي يقيني بڻائڻ لاء سڀني ضروري طريقن کي know اڻڻ گهرجي.

ترجمو ڪيل آرٽيڪل جو مصنف: سائمن سيلابا.

ضروري! معلومات صرف علمي مقصدن لاء. مهرباني ڪري قانون سازي سان مطابقت رکندڙ ۽ انهي معلومات کي غيرقانوني مقصدن لاء لاڳو نٿا ڪريو.

سسڪو ڪلب تي وڌيڪ دلچسپ مواد. اسان کي سبسڪرائب ڪريو: فيس بوڪ | vk | Twitter | انسٽام جو) ٽيلي ڪور جو زن | قاصد | ICQ نئون | يوٽيوب | نبض.