Qodobkaani wuxuu la tacaali doonaa nuglaanta Oather-ka ee caanka ah. Akhristayaasha ayaa waliba baran doona sida loo hirgaliyo amaan oo aamin ah oo ku saabsan arjiga websaydhka.
Oauth waa borotokool la isku halleyn karo, laakiin heerka uu nabadgelyo leh ayaa inta badan waxay kuxirantahay wacyigelinta soo-saareyaasha websaydhada marka ay fulinayaan oggolaanshaha. Tani waxay mawduucaan uga dhigaysaa mid aad u muhiim ah xirfadlayaasha amniga ee amniga. Waxay u baahan yihiin inay bixiyaan heer sare oo kahortag ah xisaabaadka isticmaaleyaasha. Waxaa la joogaa waqtigii lagu ogaanayaa xirfadleyaal wax ku ool ah oo kaa caawin doona yareynta qatarta iibinta liita ee OAuth.
GogoldhigBorotokoolka OAuth-ka ayaa hadda si balaadhan loogu isticmaalaa codsiyada kala duwan. Adeegsiga, interface isticmaale ee ku habboon ayaa la heli karaa, xaqiijinta fudud iyo rukhsad marka loo barbar dhigo hababka dhaqameed ee gelitaanka magaca isticmaale iyo erayga sirta ah. Iyada oo hirgelin ku habboon oo fikirka ah, borotokoolka OATHE ay ka xasilloon tahay oggolaanshaha dhaqanka, maadaama isticmaaleyaashu aysan u baahnayn inay la wadaagaan xogtooda xisaabaad arji qayb saddexaad si ay u helaan ilo gaar ah. Isticmaalayaashu waxay had iyo jeer doorbidaan inay galaan akoonkooda Google, Facebook-ga ama LinkedIn, halkii ay ka abuuri lahaayeen koonto cusub markasta oo aad u baahan tahay inaad iska diiwaangeliso websaydhka. Sidaa darteed, borotokoolka oauth wuxuu si weyn u fududeeyaa nolosheena.
Guud ahaan bixiyeyaasha Adeegga OAuth caan ah waa kuwo aad loo kalsoonaan karo. Ku gal koontada Google ama koontada Facebook-ga ayaa dhiirigelisa dareenka amniga qaarkood, waana sax. Borotokoolka waxaa si taxaddar leh u tijaabiyay khubaro. Dhammaan nuglaanta la heli karo marwalba si dhakhso ah ayey u saxaan kooxda horumarinta. Si kastaba ha noqotee, waxaa xusid mudan in dareenka badbaadada dhameystiran uu noqon karo mid been ah.
Bixiyeyaasha adeegga OAuth waxay ka tagaysa arji horumariyayaal ah sababo badan oo lagu doodi karo badbaadada barnaamijyadooda. Xaqiiqdii, Adeegga ugu horeeya ee OAuth, si qalad ah loo hirgaliyay geedi socodka rakibaadda, wuxuu noqon karaa bartilmaameed sahlan oo loogu talagalay kuwa carqaladeeya. Ka hortagga noocan ahi wuxuu horseedi doonaa xatooyada macluumaadka shaqsiyeed ee isticmaaleyaasha.
Marka xigta, waa inaad tixgelisaa nuglaanta ugu badan ee la kulmay codsiyada xisbiyada saddexaad ee hirgeliya borotokoolka oauth si loo oggolaado isticmaaleyaashooda. Waa in la xasuusnaadaa in borotokoolka laftiisa uu yahay mid amaan ah oo la isku halleyn karo. Kaliya ka dib hirgelinta khaldan, waxay u nugul tahay weerarada xadgudubka.
Xatooyo oauth tockey xatooyo iyadoo la adeegsanayo cinwaanka tixraacaMarka codsigu codsado oggolaanshaha isagoo ku hadlaya magaca isticmaale ee server-ka OAuth, qofku wuxuu helayaa koodhka si uu u galo oo dib ugu celiyo server-ka jeegaga xiga. Haddii inta lagu gudajiro shaqada uu adeegsadaha loo gudbiyo bog kale, koodhka waxaa lagu arki doonaa cinwaanka "tixraaca" cinwaanka 'HTTP'. Sidaa darteed, koodhku wuxuu ku dhici doonaa websaydhka dibedda, kaas oo ku hanjabin doona xogta isticmaale ee ka diiwaangashan server-ka oauth.
XUSUUS: Madaxa gudbinta waa madax furasho HTTP, waxay ku wareejineysaa martida umbaynta ee codsiga loo diro.
Si loo jilciyo cawaaqibka nuglaanta, soo-saareyaashu waa inuu hubiyaa in codsigiisa internetka uusan ka koobneyn wax cirbado ah oo HTML ah. Haddii mudcasho la ogaado, qofka wax weerara ayaa si fudud u dejin kara sumcadda sumcadda server-ka websaydhkiisa wuxuuna raadsadaa hab uu ku wareejiyo isticmaaleha. Markaa, wuxuu heli doonaa fursad uu ku xado Xeerka "Madaxa tixraaca" ee codsiga HTTP.
Xatooyo oauth tockey tuugada reslet_uri pareterCodsigu wuxuu bilaabaa geedi socodka oggolaanshaha isagoo u diraya codsi Adeegga OAuth:
https://www.example.com/sigknin/Authize.t.... arimaha&reritct_uri=htttps:/demo.emo.eample.com/logirins.
Su'aasha had iyo jeer waxaa ku jira "retriret_uri" ee ay adeegsadaan server-ka OAuth si ay u diraan tokens arjiga ka dib markii uu isticmaaley uu siiyay ogolaanshihiisa. Haddii qiimaha xuduntaas aan la xakameyn ama aan la hubin, qofka wax weerara ayaa si fudud u beddeli kara oo u wareejin kara codsiga boggeeda, halkaas oo ay u isticmaasho barnaamij gaar ah oo lagu farsameeyo calaamadaha iyo helitaanka kheyraad kooban.
https://www.example.com/signample.con/aimorize.t... anaga ahaa&rerit_uri=htttps:/localhost.evil.com.
Mararka qaarkood URLs la mid ah ayaa la xannibay. Weeraryahanku wuxuu ku wareejin karaa xogta la helay ee ku yaal URL furan, sidan oo kale:
https://www.example.com/oauth20_Authorize.srf.sfy panald_uricect_uritttppps://ACCOGETTPPPPPPPPPPPPPArget.acttouthsubt.acttouthsub://evilto.com.
Ama tan:
https://www.example.com/oauth2/auth2/authize? [...]% IrCt_uri = https% 3f% 2f %.facebook.fatker% 2f.
Markaad hirgalinayso OAATH, waligaa kuma dari kartid dhammaan degmooyinka oo dhan liiska cad. Kaliya dhawr URL-yada waa in lagu dari karaa "retret_uri" oo aan la wareejin codsi ah in la furo hagaajinta.
Been abuurka codsiyada iskutallaabtaBeelaha codsashada isgoyska ayaa dhici karta markii qof weerarka soo qaaday uu ku guuleysto inuu dhajiyo dhibbanaha inuu riixo xiriirkiisa oo sidaas, si loo abuuro codsi uusan sameyn doonin. Beelaleyda codsiyada iskutallaabta-qadka waxaa badanaa lagu jilciyaa calaamadaha CSRF, oo la xiriirta kulanka isticmaalaha. Waxay ka caawineysaa dalabka inuu hubiyo qofka u diray qofka soo diray dalabka. Xaraashka "Gobolka" ee Borotokoolka OAth wuxuu u adeegaa calaamadaha CSRF.
Waxaa mudan in la daawado sida loo wajahayo in weerarka CSRF lagu sameeyo OAuth iyo sida xudunta "gobolka" ee "gobolka" loo isticmaali karo yareynta saameynta nuglaanta nuglaanta.
Hacker wuxuu furaa codsi websaydh oo wuxuu bilaabaa habdhaqanka oggolaanshaha si loo helo adeeg bixiyaha isagoo adeegsanaya OAuth. Codsigu wuxuu codsanayaa adeeg bixiye si uu u helo in loo baahan yahay in la bixiyo. Hacker waxaa loo wareejin doonaa websaydhka adeegbixiyaha adeegga, halkaas oo aad inta badan u baahan tahay inaad gasho magacaaga isticmaale iyo eraygaaga sirta ah si aad u oggolaato gelitaanka. Taabadalkeed, jabsada ayaa qabata oo ka hortagaysa codsigan oo wuxuu badbaadiyaa URLkeeda. Hay'ad si uun u yeelo dhibbanaha inuu furo URL-kan. Haddii dhibbanuhu galay nidaamka adeeg bixiyaha isagoo adeegsanaya akoonkiisa, ka dib shahaadooyinkeeda waxaa loo isticmaali doonaa in lagu soo saaro koodh oggolaansho. Nambarka oggolaanshuhu wuxuu isweydaarsadaa marin u helka calaamadaha marinka. Hadda koontada jabsada ee arjiga ayaa la oggol yahay. Waxay gali kartaa koontada dhibbanaha.
Marka, sideen uga hortegi karaa xaaladdan iyadoo la adeegsanayo qiyaasta "gobolka"?
Codsigu waa inuu abuuraa qiimo si uun ah ku saleysan koontada isha (tusaale ahaan, isticmaal fadhiyada isticmaaleha Hash). Maahan wax muhiim ah waxa ay tahay, waxa ugu weyn ayaa ah in qiimaha uu yahay mid gaar ah oo uu ka dhaliyo macluumaad gaar ah oo ku saabsan isticmaaleha asalka ah. Waxaa loo xilsaaray xudunta "gobolka".
Qiimahaan waxaa loo gudbiyaa bixiyaha adeegga markii la rogayo. Hadda jabsiga ayaa ku casuumay dhibanaha inuu furo URL, kaas oo uu sii hayey.
Koodhka oggolaanshaha ayaa la soo saaray oo dib loogu celiyaa macmiilka kulanka fadhiga oo ay weheliso xudunta "gobolka".
Macmiilku wuxuu abuuraa qiimo xad-dhaaf ah oo ku saleysan macluumaadka kalfadhiga oo uu isbarbar dhigayo qiimaha "gobolka", oo dib loogu soo celiyo codsiga oggolaanshaha adeeg bixiyaha. Qiimahaani kuma eka xargaha "gobolka" ee "ee weydiinta, maadaama loo soo saaray oo keliya iyadoo lagu saleynayo macluumaadka ku saabsan fadhiga hadda jira. Natiijo ahaan, qiimaha la helay ma aqbalo nidaamka.
ن Leeyirka kale ee la helay markii la hirgaliyay OAuth waxaa ka mid ah awoodda lagu sameeyo XSS (Crade-Cradet_uri "oo la heli karo marka loo fiirsado arjiga mobilada (furitaanka dalabka mobilada) iyo Xeerka Xeerka Oggolaanshaha (goorta Nambarka oggolaanshaha ayaa loo isticmaali karaa in kabadan hal jeer si loo soo saaro calaamado badan oo helitaan ah). U nugul nuglaanta ayaa ka yar kuwa kor lagu soo sheegay, laakiin kama dhigeyso inay ka yar yihiin khatar. Soo saareyaashu waa inuu ogaado dhammaan dhaqamada lagama maarmaanka u ah hubinta hawlgalka la isku halleyn karo ee arjigiisa internetka.
Qoraaga ee qodobka tarjumay: Simon Sliba.
Muhiim! Macluumaad kaliya ujeedooyin waxbarasho. Fadlan u hogaansanaanta sharciga oo ha u adeegsan macluumaadkan ujeeddooyin sharci darro ah.
Wax ka badan oo xiiso leh oo ku saabsan ciscoclub.ru. Nadiifi Mareykanka: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Rasuul | ICQ New | YouTube | Garaaca.