Ин мақола бо осеби маъруфи Оя. Хонандагон инчунин тарзи амалисозии иҷозати бехатар ва бехатар дар барномаи интернетиро меомӯзанд.
Оят протоколи боэътимод аст, аммо дараҷаи амнияти он асосан ҳангоми амалисозии веб-барномаҳо ҳангоми иҷрои ваколатҳо вобаста аст. Ин мавзӯъро барои мутахассисони амнияти иттилоотӣ ниҳоят муҳим мекунад. Онҳо бояд сатҳи баланди ҳимояи ҳисобҳои корбарони онҳоро таъмин кунанд. Вақти он расидааст, ки бо таҷрибаомӯзони самаранок шинос шавем, ки ба паст шудани хатари фурӯши ваҳдати Оят мусоидат мекунанд.
ШиноскунӣДар айни замон протоколи Оятҳо дар ҳолатҳои гуногун истифода мешаванд. Бо истифода аз он, интерфейси мувофиқ истифодабаранда дастрас аст, тасдиқкунина ва иҷозати осонтар дар муқоиса бо усулҳои анъанавӣ барои ворид шудан ба номи корбар ва парол мавҷуд аст. Бо татбиқи дуруст ва мулоҳиза, протоколҳои мувофиқ аз авторизатсия ва нисбат ба иҷозати анъанавӣ, протоколи Оят, бехатартар аз иҷозати анъанавӣ бехатартар хоҳад буд, зеро корбарон ба маълумоти ҳисоботи худ бо барномаи сеюм барои дастрасӣ ба захираҳои мушаххас ниёз надоранд. Истифодабарандагон аксар вақт барои истифодаи ҳисобҳои Google, Facebook ё Linkedin, ба ҷои эҷоди ҳисоби нав, ҳар дафъае, ки шумо бояд дар баъзе вебсайт сабти ном кунед, ворид шавед. Ҳамин тавр, протоколи яҳудиён ҳаёти моро хеле содда мекунад.
Умуман, провайдерҳои хидматрасонии оммавии Оят хеле боэътимоданд. Бо ҳисоби Google ё суратҳисоби Facebook, ҳисси муайяни амниятро илҳом мебахшад ва он дуруст аст. Протокол аз ҷониби коршиносон бодиққат санҷида мешавад. Ҳама осебпазирии дастрас ҳамеша аз ҷониби дастаи таҳиякунанда ба зудӣ ислоҳ карда мешаванд. Аммо, бояд қайд кард, ки эҳсоси бехатарии комил метавонад дурӯғ бошад.
Провайдерҳои хидматрасонии OAAут таҳиякунандагони барномаро барои мубориза бо нармафзори худ ба даст оварданд. Дар асл, хадамоти ибтидоӣ муҳофизатшаванда ҳифзшуда дар ҷараёни насби он нодуруст татбиқ карда мешавад, метавонад барои ҳалли осон барои вайронкунандагон табдил ёбад. Чунин чорабиниро ба дуздии маълумоти шахсии корбарон оварда мерасонад.
Минбаъд шумо бояд осебпазирии маъмултаринро дар барномаҳои тарафи сеюм, ки протоколи Оятро барои иҷозати корбарони худ иҷро мекунанд, баррасӣ кунед. Дар хотир бояд дошт, ки худи протоколӣ бехатар ва боэътимод аст. Танҳо пас аз иҷрои нодуруст, он ба ҳамлаҳои ҳакерӣ осебпазир мегардад.
Oauth Tockkey-ро бо истифодаи сарлавҳаи истинодВақте, ки барнома аз номи корбар дар сервери Оят, дархост дархост мекунад, шахс кодро барои санҷиши баъдӣ ба сервер қабул мекунад. Агар дар давоми асар корбар ба сафҳаи дигар равона карда шавад, кодекси "ба сарлавҳаи Лоиҳаи дархости HTTP" дида мешавад. Ҳамин тариқ, рамз ба вебсайти беруна меафтад, ки ба маълумотҳои корбар дар сервери OAOUR ба қайд гирифта шудааст.
Эзоҳ: Сарлавҳаҳои истинод сарлавҳаи Quet Square мебошад, ки он мизи URL-ро аз он ирсол менамояд.
Барои мулоим кардани оқибатҳои осебпазирӣ, таҳиякунанда бояд боварӣ ҳосил намояд, ки замимаи он ягон транксияи HTML-ро дар бар гирад. Агар тазоҳурот ошкор карда шуда бошад, ҳамлагар ба осонӣ барчаспҳои тасвирро ба сервери веби он таъин карда метавонад ва роҳи таҷдиди корбари онро ба он равона кунад. Ҳамин тариқ, вай имконият пайдо мекунад, ки кодро аз сарлавҳаи дархости HTTP дуздӣ кунад.
Бо истифода аз параметрҳои сурхАриза раванди ваколатдорро тавассути фиристодани дархост ба сервери OAOUR оғоз мекунад:
https://www.example.com/signia/authorizin/authorize_uredirect_uri=httttps ://diy_ema=htttpps://demo.examencessy.com/logbackence.com.
Дархост танҳо параметри «Сурдиди Autireck_ireect_uri» -ро дар бар мегирад, ки серверҳои OAOUS-ро барои фиристодани паёмҳо пас аз додани кор фармони худ ба барнома баргардонанд. Агар арзиши ин параметр назорат карда нашавад ё тафтиш карда нашавад, дархостро ба осонӣ тағир дода наметавонад ва дархостро ба он, ки барномаи махсуси коркарди аломатҳоро истифода мебарад ва ба манбаи маҳдуд ворид кунад.
https://www.examleple.com/signia/autorisin/authorize_uredirect_uri=htttpps://localhost.evil.com.
Баъзан URL-ҳои ба таври монанд баста мешаванд. Ҳамлагар метавонад маълумоти гирифташударо дар URL кушодаи кушод, ба монанди ин:
https://www.example.com/ooauth.s_aauth.srfiret_.
Ё:
https://www.example.com/ooauth2/authorize? [...]% IRECT_URI = HTTPS% 3A% 2F% 2FApper.facebook.facebook.com.
Ҳангоми амалисозии Оят, шумо ҳеҷ гоҳ тамоми домейнҳоро дар рӯйхати сафед дар бар мегирад. Танҳо якчанд URL-ҳо бояд ба "redirect_uri" дархостро барои кушодани бозгашти кушод равона карда нашудаанд.
Азхудкунии дархостҳои убурВақте ки даъвати ҳамла метавонад ба амал ояд, метавонад ба ҷабрдидагон муваффақ шавад, то истиноди ӯро клик кунад ва ҳамин тавр барои тавлид кардани дархосте, ки ба ӯ тавлид намерасад. Қисми бастани дархостҳои гузариш одатан бо аломати CSRF нарм карда мешавад, ки бо ҷаласаи корбар алоқаманд аст. Он ба ариза кӯмак мекунад, ки шахси шахсеро, ки дархостро фиристодааст, тафтиш кунад. Параметри "Давлатӣ" дар протоколи OAATS ҳамчун аломати CSRF хидмат мекунад.
Бояд гуфт, ки чӣ тавр ҳамлаи CSRF ба Оятҳо гузаронида мешавад ва ҳамчун параметрҳои "Давлатӣ" -ро барои кам кардани оқибатҳои осебпазирӣ истифода бурдан мумкин аст.
Ҳакер барномаи веб-барномаро мекушояд ва раванди авторизатсияро барои дастрасӣ ба провайдери хидматрасон истифода мебарад. Дар ариза аз провайдери хидматрасон дархост мекунад, ки дастрасӣ ба он пешбинӣ шудааст. Ҳакер ба вебсайти хидматрасонии хидматрасонӣ равона карда мешавад, ки дар он ҷо шумо бояд номи корбар ва паролро барои дастрасӣ ба шумо ворид кунед. Ба ҷои ин, ҳакерро сайд мекунад ва пешгирии ин дархостро пешгирӣ мекунад ва URL-и худро сарфа мекунад. Ҳакер бо чӣ гуна қурбонии ин URL кушода мешавад. Агар ҷабрдида ба системаи провайдери хидматрасон ворид шуда бошад, пас маълумоти он барои додани рамзи авторизатсия истифода мешавад. Кодекси ваколатгирӣ ба вокуниши дастрасӣ мубодила мекунад. Ҳоло ҳисоби ҳакерӣ дар барнома ваколатдор аст. Он метавонад ба ҳисоби ҷабрдида дастрасӣ пайдо кунад.
Пас, чӣ гуна ман метавонам ин ҳолатро бо истифодаи параметри "Давлатӣ" пешгирӣ кунам?
Барнома бояд арзиши онеро эҷод кунад, ки гӯё дар асоси ҳисоби манбаъ (масалан, калиди сеанси корбарро истифода баред). Ин он қадар муҳим нест, ки ин чизи асосӣ дар он аст, ки арзиш бо истифода аз маълумоти хусусӣ дар бораи корбари аслӣ арзиши беназир аст. Он ба параметри "Давлатӣ" таъин шудааст.
Ин қимат ҳангоми масиршавӣ ба провайдери хидматрасон интиқол дода мешавад. Ҳоло Ҳакер ҷабрдидаро даъват мекунад, ки URL-ро кушояд, ки ӯ нигоҳ дошт.
Кодекси иҷозатнома дар якҷоягӣ бо параметри "Давлатӣ" ба муштарӣ фиристода шудааст.
Мизоҷ арзиши параметрро дар асоси маълумоти сессия эҷод мекунад ва онро бо арзиши "Давлатӣ" муқоиса мекунад, ки аз дархости авторизатсия ба провайдери хидматрасон муқоиса карда шудааст. Ин қимат ба параметрҳои "Давлатӣ" бо дархост мувофиқат намекунад, зеро он танҳо дар асоси иттилоот дар бораи ҷаласаи ҷорӣ тавлид шудааст. Дар натиҷа, арзиши гирифташуда аз ҷониби система қабул карда намешавад.
Бо истифода аз параметрҳои "Travelthtion-и The Redirecth_uri-и сайти дигар, ҳангоми баррасии дархости мобилӣ, дар бар мегирад) ва вайронкунии ваколатҳо, ки қоидаҳои қоидаҳои қоидаанд Кодекси иҷозатдиҳӣ метавонад як маротиба барои интишори аломатҳои дастрасии сершумор истифода шавад. Ин осебпазириҳо нисбат ба онҳое, ки дар боло тавсиф шудаанд, камтар маъмуланд, аммо он онҳоро камтар хатарнок намекунад. Таҳиягар бояд тамоми таҷрибаҳои заруриро барои таъмини амалиёти боэътимоди барномаи веб-дархосташ донад.
Муаллифи мақолаи тарҷумашуда: Саймон Салиба.
Муҳим! Маълумот танҳо барои мақсадҳои таълимӣ. Лутфан бо қонун розӣ шавед ва ин маълумотро барои мақсадҳои ғайриқонунӣ татбиқ накунед.
Маводи ҷолибтар дар CISOCUB.RU. Обуна ба мо: Facebook | Vk | Twitter | Instagram | Тангия | Зен | Mailers | ICQ нав | YouTube | Набзи.