Sengoliloeng sena se tla sebetsana le booa bo tsebahalang ba oauth ba tsebahalang. Babali le bona ba tla ithuta ho kenya tšebetsong tumello e bolokehileng le e sireletsehileng e sireletsehileng kopo ea webo.
Oeauth ke protocol e tšepahalang, empa boemo ba eona ba ts'ireletso bo itšetlehile ka tlhokomeliso ea bahlahisi ba webo ha re kenya tumello. Sena se etsa hore sehlooho sena se bohlokoa haholo ho litsebi tsa ts'ireletso tsa tlhaiso-leseling. Ba hloka ho fana ka boemo ba ho sireletsa litlaleho tsa basebelisi ba bona. Ke nako ea ho tloaelana le litsebi tse atlehang ea tla thusa ho fokotsa kotsi ea ho rekisa e futsanehileng.
KenyelletsoProtocol ea Oeaul e sebelisoa haholo likolong tse fapaneng. Ho e sebelisa, ntho e bonolo ea mosebelisi e fumaneha, e le thata e bapisoang le tumello ha e bapisoa le mekhoa ea setso bakeng sa ho kenya lebitso la mosebelisi le phasewete. Ka ts'ebetso e nepahetseng le e nahanang, Protocol ea Oouth e tla bolokeha ho feta tumello ea setso, kaha basebelisi ha ba hloke ho arolelana data ea bona ea ho kenya letsoho ka kopo ea mokete oa boraro. Hangata basebelisi ba khetha ho kena ho sebelisa li-account tsa bona tsa Google, ho fapana le ho theha ak'haonte e ncha nako e ncha ea marang-rang. Kahoo, Protocol ea oauth e pheta-pheta haholo bophelong ba rona haholo.
Ka kakaretso, ba fanang ka litšebeletso tsa OAuth ba ts'epahala haholo. Kena ka akhaonto ea Google kapa Facebook e khothaletsa mohopolo o itseng oa polokeho, 'me e nepahetse. Protocol e lekoa ka hloko li litsebi. Bokhoni bohle bo teng bo lula bo tsepamisoa ka potlako ke sehlopha sa moqapi. Leha ho le joalo, ho bohlokoa ho hlokomela hore maikutlo a polokeho e felletseng a ka ba leshano.
Bafani ba Livi tsa lauth ba tlohetse bahlahisi ba kopo ba na le mabaka a mangata a ho pheha masimo a mananeo a bona. Ebile, tšebeletso e sirelelitsoeng qalong, e kenngoe ka nepo ts'ebetsong ea ho kenya, e ka ba sepheo se bonolo bakeng sa ba kenang lenyalong. Boikemisetso bo joalo bo tla lebisa ho bosholu ba data ea basebelisi.
Ka mor'a moo, u lokela ho nahana ka sethunya se tloaelehileng ka ho fetisisa se kopaneng le likopo tsa motho oa boraro tse kenyang pele ho fallela basebelisi ba bona. E lokela ho hopola hore protocol ka bobona e bolokehile ebile e ea tšepahala. Feela kamora ts'ebetso e fosahetseng, e ba kotsing ea litlhaselo tsa lehare.
Oauth Tockey ea Tockey o sebelisa lebitso la bongoliHa ts'ebeliso ea ts'ebeliso e kopa tumello ea mosebelisi ho seva ea OAuth, motho o fumana khoutu ea ho kena ebe o romella seva bakeng sa cheke ea eona e latelang. Haeba nakong ea mosebetsi mosebelisi a tla fetisetsoa ho leqephe le leng, khoutu ena e tla bonoa "hloohong ea Refer" ea kopo ea http. Kahoo, khoutu ena e tla oela webosaeteng ea kantle, e tla tšosa datha ea mosebelisi e ngolisitsoe ho seva ea OAuth.
Tlhokomeliso: Hlooho ea moithuti ke hlooho ea khomo ea HTTP, e fetisetsa lebaleng la URL eo kopo e romelloang ho eona.
Ho nolofatsa litlamorao tsa hore ho na le menyetla ena, mothetsi o lokela ho etsa bonnete ba hore ts'ebeliso ea marang-rang ha e na liente tsa HTML. Haeba liente li fumanoe, motho ea hlaselang a ka beha setšoantšo sa setšoantšo sa marang-rang mme o fumane tsela ea ho fetisetsa mosebelisi ho eona. Kahoo, o tla fumana monyetla oa ho utsoa khoutu e tsoang "hloohong ea Refer" ea kopo ea http.
Oeauth Tockey e sebelisa paramente ea Redirect_uriSesebelisoa se qala ts'ebetso ea tumello ka ho romella kopo ho seva ea OAuth:
https://www.exle.com/signin/authorizepein...itact_uri=httpps
Potso e lula e na le "Redirect_udi" e sebelisoang ke seva ea oeauth ho romella li-tokens kamora hore mosebelisi a lumelle tumello ea hae. Haeba boleng ba paramente ena ha bo laoloe kapa ha bo hlahlojoe, motho ea hlaselang a ka e fetola habonolo
https://www.exle.com/signin/fauthorize tiuthorizepein...itsact_uri=httpps
Ka linako tse ling li-urls tse tšoanang li koetsoe. Motho ea hlaselang a ka khutlisa data e fumanoeng URL e bulehileng, joalo ka:
PETSTPS MPOW.Exple.com/Eauth20_Aukharhorize.Srf boitsebiso ..srf
Kapa sena:
https://www.exle.com/oauth2/oathorize? [...]% Iit
Ha o kenya tšebetsong oa oa, le ka mohla o ke ke oa kenyelletsa libaka tsohle tse lethathamong le lesoeu. Ke li-Urls tse 'maloa feela tse lokelang ho eketsoa ho "Redirect_uri" ha e nchafatse kopo ea ho bula kopo.
Ho forgery ea likopo tsa mohalaHo foka ha kopo ea ho itšilafatsa e ka ba ha motho ea hlaselang a atleha ho etsa hore motho ea hlasetsoeng a tlanyelletsa sehokelo seo a neng a sa tlo sekaseka. Ho foka li kopa likopo tsa sefapano hangata hangata le letšoele la CSRF, le amanang le seboka sa mosebelisi. E thusa kopo ea ho hlahloba motho ea se rometseng kopo. Paramente ea "State" ho Fatocol protocol e sebetsa e le tokiso ea CSRF.
Re lokela ho shebella hore na tlhaselo ea CSRF e etsoa joang ho Oauth le paramente ea "State" e ka sebelisoa ho fokotsa litlamorao tsa ho ba kotsing.
Hacker e bula kopo ea sebaka sa marang-rang ebe e qala ts'ebetso ea tumello ea ho fihlella mofani oa litšebeletso ka oa oa. Sesebelisoa se hloka mofani oa litšebeletso ho fihlella seo se hloka ho fanoa. Hacker e tla fetisetsoa sebakeng sa hau sa boikoetliso, moo o tloaetseng ho kenya lebitso la hau la mosebelisi le phasewete ho lumella phihlello. Ho fapana le moo, leqhubu le tšoenyehe le ho thibela kopo ena le ho pholosa URL ea eona. Hacker ka tsela e itseng e baka motho ea hlasetsoeng hore a tsebe url ena. Haeba motho ea hlasetsoeng a kentse tsamaiso ea mofani oa litšebeletso a sebelisa ak'haonte ea eona, ka nako eo a tla sebelisoa ho hlahisa khoutu ea tumello. Khoutu ea tumello e feto-fetoha le ho fumana letšoao la ho fihlella. Joale ak'haonte ea Hacker ts'ebetsong e lumelletsoe. E ka fihlella ak'haonte ea motho ea hlokofalitsoeng.
Joale, nka thibela boemo boo joang sebelisa paramente ea "State"?
Sesebelisoa se tlameha ho theha boleng bo itseng bo thehiloe ho ak'haonte ea mohloli (mohlala, sebelisa Setsi sa Ts'ebetso ea mosebelisi la hash). Ha ho bohlokoa haholo hore na ke eng, ntho ea mantlha ke hore boleng bo ikhethile ebile bo hlahisitse ho sebelisa tlhaiso-leseling e ikemetseng ka mosebelisi oa pele. E abeloa paramente ea "State".
Boleng bona bo fetisetsoa ho mofani oa litšebeletso ha ba tsamaisana le ho tsamaisa. Hona joale senyeha ha se hlasetsoe ho bula URL eo a e tšehetsang.
Khoutu ea tumello e fanoa 'me e khutlisetsoa ho moreki sebokeng le paramente ea "State".
Moreki o hlahisa boleng ba paramente ho latela tlhaiso-leseling ea thuto mme e e bapisa le boleng ba "State", e ileng ea khutlisoa ka kopo ea tumello. Boleng bona ha bo tšoane le paramente ea "State" ntlheng ea pele, kaha e hlahisitsoe feela motheong oa tlhaiso-leseling ka seboka sa hajoale. Ka lebaka leo, boleng bo fumanoeng ha bo amoheloe ke sistimi.
Ho etsa liqeto tse ling ha ho etsoa ha ho kenya letsoho ho kenyelletsa bokhoni ba ho etsa xss (ka linako tse ling lengolo la "lauth_ Khoutu ea tumello e ka sebelisoa ho feta hanngoe ho hlahisa li-tokens tse ngata). Phetoho ena e atile ho fapana le e hlalositsoeng ka holimo, empa ha e etse kotsi. Moqapi o lokela ho tseba litloaelo tsohle tse hlokahalang ho netefatsa ts'ebetso e tšepahalang ea kopo ea eona ea marang-rang.
Mongoli oa sengoloa se fetoletsoeng: Simone sayeria.
Bohlokoa! Tlhahisoleseling ka sepheo sa lithuto. Ka kopo latela melao 'me u se ke ua sebelisa tlhahisoleseling ena ka sepheo se seng molaong.
Lintho tse khahlisang haholoanyane ho CISOClub.ru. Ingolise ho Rona: Facebook | VK | Twitter | Instagram | Telegraph | Zen | Messenger | HCQ New | YouTube | Pulse.