Bu makala meşhur OAHUH gowşaklyklary bilen iş salyşar. Okaýjylar Şeýle hem, web programmasynda Howpsuz we ygtybarly ygtyýarnamany nädip durmuşa geçirmegi öwrenerler.
Outhehit Ygtybarly teswirnama, Türkmenistan howpsuzlygy esgeri özi üçin web eksportçylarynyň habarçlygyna baglydyr. Bu mowzugy maglumat howpsuzlygy hünärmenleri üçin gaty möhüm edýär. Ulanyjylaryň sanlarynyň ýokary derejede goralmagyň ýokary derejesini bermeli. Garyplara satmagyň azatlygyny azaltmaga kömek etjek netijeli işleýän presirler bilen tanyşmagyň wagty geldi.
GirişOAuth 2.0 teswirnamasy häzirki wagtda dürli programmalarda giňden ulanylýar. ULANMAK, Ulanyjy adyny we parolyny girizmegiň adaty usullary bilen deňeşdirilende amatly ulanyjy interfeýsine bolup, aňsat tassyklanylmaty we ygtyýarnama elýeterli bolýar. Dogry we oýlanmak arkaly durmuşa geçirýän adaty rugsady bilen has ygtybarly bolar, sebäbi ulanyjylara anyk çeşmä girmek üçin üçünji tarap maglumatlaryny paýlaşmazlyk üçin, ulanyjylaryň buhgalteriýa programmasyny üçünji tarap-deslapky programmasyny paýlaşmazlyk. Ulanyjylar, Google hasaplaryny, facebook-laryny ýa-da Linkedge-a girip, her gezek käbir web sahypasynda hasaba almaly bolmagyňyz has köp girmegi makul bilýärler. Şeýlelikde, Oba protokoly durmuşymyzy ýönekeýleşdirýär.
Umuman, meşhur OA unama hyzmatyny üpjün edijiler gaty ygtybarlydyr. Google ýa-da Facebook hasaby bilen giriň, belli bir howpsuzlyk duýgusyny açýar we dogrudyr. Protokol hünärmenleri tarapyndan üns bilen görkezildi. Bar bolanlaryň barsy bolanlaryň hemmesi, döredijilik toparyndan elmydama düzedilýär. Şeýle-de bolsa, doly howpsuzlygyň duýgusynyň ýalandygyny bellemelidiris.
OA uŞMA HYZMAT üpjünçylar, maksatnamalarynyň howpsuzlygyny çözmek üçin köp sebäpleri köpdürýärler. Aslynda, ilki goranyş işinde doly gurlan Obaut gullugy çyduryjylar üçin aňsat nyşana bolup amala aşyrylyp bilner. Şeýle aladalar, ulanyjylaryň şahsy maglumatlarynyň ogurlanmagyna sebäp bolar.
Indiki, ulanyjylaryň ulanyjylaryna ygtyýar bermek baradaky üçünji taraply özdogardaky iş ýüzünde görkezilen iň köp partiýalara-da ýüze çykmaly serediň. Protokolyň özüne howpsuz we ygtybarlydygyny ýadyňyzdan çykarmaň. Diňe nädogry durmuşa geçirilýär, hacker hüjümlerine sezewar bolýar.
Oaut Tokkeý ogurlygyOauth-da ulanyjynyň adyndan ulanyjynyň adyndan ulanyjynyň adyndan ygtyýarlaşmagy, soňra bolsa, indiki çek üçin serwere girmek we ibermek üçin kod alýar. Iş wagtynda ulanyjy başga sahypa gönükdiriler, "salgylanma" haýyşynyň sözbaşysynda kod görer. Şeýlelik bilen, sebtmut serweride hasaba alnan daşarky web sahypasyna kem-kemden daşaryksňyz, OAHCHS serwerinde hasaba alnan daşarky web sahypasyna gaçar.
Bellik: Aşakda emri sözbaşy http soraga sözbaşy, haýyşyň iberilen URL-yň ýerinden iberýär.
Bu gowşaklygyň netijelerini ýumşamak üçin dörediji, öndürijilik sanynyň hiç hili mill sanjym ýokdygyna göz ýetirmeli. Sannamanyň düýbünden görkezilmedik bolsa, hüjümçi suraty aňsatlyk bilen web serwerine aňsatlaşdyryp biler we ulanyjyny gönükdirmegiň usuly tapyň. Şeýlelik bilen, "salgylanma" sözbaşy sözbaşynyň başlygy "salgylanma" sözbaşysyndan ogurlamaga mümkinçilik alar.
OAUM Tokkeýe ogurlyk_uri parametri ulanyp, Oaut Tokkeý ogurlykProgramma, Oaut Serwerine haýyş ibermek arkaly ygtyýarnama işe başlaýar:
https://www.examleamle.com/signin.urtphps.urirtchtphps_urirtphps/.
Talap hemişe ulanyjy özüniň razylygy bereninden soň, OýaACH serweriniň öwezini dolanyňyzdan soň Programma iberilenden soň Programma ibermek üçin belliklere dolanyklyga ibermek üçin ulanan "gönükdirme_uri" parametrini öz içine alýar. Bu parametriň gymmaty gözegçilik edilmedik ýa-da ýok edilmese, hüjümçi buzlylygy aňsatlyk bilen üýtgedip biler we haýyşy aňsatlyk bilen üýtgedip biler, belligini gaýtadan işlemek üçin ýörite programma ulanýar.
https://www.examleamle.com/Signin.urtps.urtphps.urtps.urstps.ounsehost.ovil.com.
Käwagt şuňa meňzeş URL-ler petiklenýär. Hüjümçi, şuňa meňzeş altysyndaky açyk URL-de täzeden gönükdirip biler:
https://www.xamlee.com/oauth2.rf.rwh20_
Ýa-da ş.m.
https://www.examle.com/oinh2/authihorhi = HTTPS% 2f% 2f $ 2FAPT.FACEBOCBOCBOCT.FACEBOCT.com% 2fatacker% 2f.
Outh-yň ýerine ýetireniňizde, hiç wagt ak sanawda tutuş domenleri öz içine alyp bilmersiňiz. "Realctcect_uri" -a diňe "realCect_uri" gönükdirilmedik haýyşy ugrukdyrylmaýar.
Hossarlyk islegleriniň galyndylaryÇäklendirýän haýyşyň galplyk şertnamasy bolup biler, hüjümçi pidany baglanyşygyna üstünlik gazanmak üçin we şeýlelik bilen, öz öndürmezligi haýyş gaýtalamak islegini döretmek üçin. Lineurnals talaplary, ulanyjy sessiýasy bilen baglanyşykly CSRF bel belligi bilen ýumşalýar. Haýyşy iberen adamyň adamy barlamak üçin programmasyna kömek edýär. Obautdaky "Döwlet" protokomdaky parametr CSRF nyşany bolup hyzmat edýär.
CSAF hüjüminiň OU the-nyň ýagdaýynda OU the we gowşaklykdan ejir çekmegiň täsirini azaltmak üçin ulanyp boljakdygyny görmekde, "Döwlet" parametrülisine hökmünde alnyp barylýandygyna tomaşa etmegi mynasypdyr.
Haser hasseren web programmasyny açýar we hyzmat üpjünçinsta girmek üçin ygtyýarnama girmek üçin ygtyýarnamany işe girizmek üçin ygtyýarnama çäresini ýadygärlige başlaýar. Programma, zerur zerurlyk üçin hyzmat üpjün edijisini haýyş edýär. Hakeri, hyzmat üpjün edijiniň web sahypasyna gönükdiriler, adatça, girişe ygtyýar bermek üçin ulanyjy adyňyzy we parolyňyzy girizmeli. Munuň ýerine haker tutýanlary, bu haýyşyň öňüni alýar we url-ny tygşytlaýandygyny görkezýär. Haker näçiläk pidanyň bu URL-ni açmaga sebäp bolýar. Pidany hyzmat üpjün edijisini girizilen bolsa, soň bolsa şahsyýetnamalary awtorizasiýa kody bermek üçin ulanylar. Ygtyýarnama kody giriş belligine girýär. Indi programma merkezindäki haker hasaby ygtyýarlydyr. Pidanyň hasabyna girip biler.
Şeýlelik bilen, bu ýagdaýyň "Döwlet" parametrini nädip ulanyp nädip öňüni alyp bilersiňiz?
Arza çeşmede kesgitlän nämüçiniň ussatlyk esasynda (mysal üçin, ulanyjy çapasynyň hassasyny ulanyp) ulanyň. Bu şeýle möhüm däl, esasy zat, bahanyň asyl ulanyjy barada şahsy maglumatlary ulanýan we şahsy maglumatlary özboluşlydyr. "Döwlet" parametryna bellenilýär.
Bu baha gönükdirmek, gönükdirilýände hyzmat üpjün edijisine iberilýär. Indi haker pidany saklan URL-ni açmaga çagyrýar.
Awtorizasiýa kody "Döwlet" parametrasiýasy bilen bilelikde geçirilen sessiýadaky Müşderi iberilýär.
Müşderi sessiýa maglumatyna esaslanyp, parametr bahasyny öndürýär we ony ygtyýar üpjün edijisine awtorizasiýa haýyşy bilen iberilen "döwlet" gymmaty bilen deňeşdirýär. Bu baha, "Döwlet" parametri soragdaky parametrerine gabat gelmeýär, sebäbi şu sapaga maglumat esasynda döredilensoň, biz şu sapuş üçin maglumatlar esasynda döredilmeýär. Netijede, alnan bahasy ulgam tarapyndan kabul edilmeýär.
Oututdan soňky resminamalary durmuşa geçiren beýleki garaýyşlary öz içine alýar "-diýip, OAuth Imhehli" ykjam programma "-y öz içine alýan aç-açan çap edilip bilner) we ygtyýarnamanyň ygtyýarlyklaryny dolandyrýan mahaly, beýleki garaguşlary öz içine alýar. Awtorizasiýa kody, köp ygtyýarly bellikleri bermek üçin bir gezekden köp ulanylyp bilner. Bu garyklyglylaralar ýokarda düşündirilenlerden has azatlyk, ýöne onuň olary az howply etmeýär. Önümlendiriji, web programmasy, ygtybarly amallary üçin ygtybarly amallary gowulandyrmak üçin zerur çäreleri bilmeli.
Taryhy birikdirilen makala: Simon duzy.
Möhümdir! Diňe akademiki maksatlar üçin maglumatlar. Kanunçylyga bermegiňizi we bu maglumatlary bikanun maksatlar üçin ulanmaň.
Cisoklububububyň üstündäki has gyzykly material. ABŞ-a ýazylyň: facebook | Rc | Twitter | Instagram | Telegramma | Zen | Messenger | ICQ täze | YouTube | Impuls.