Бу мәкалә танылган Оутес зәгыйфьлеге белән эш итәчәк. Укучылар шулай ук веб-кушымтада куркынычсыз һәм куркынычсыз рөхсәтне ничек тормышка ашырырга өйрәнәчәк.
Оат - ышанычлы протокол, ләкин аның куркынычсызлык дәрәҗәсе күбесенчә рөхсәтне тормышка ашырганда веб төзүчеләре турында хәбәрдарлыкка бәйле. Бу мәгълүмат куркынычсызлыгы белгечләре өчен бу теманы бик мөһим итә. Аларга кулланучылары турындагы счетларны саклауның югары дәрәҗәсен тәэмин итәргә кирәк. Оуашка ярлы сату куркынычын киметергә ярдәм итүче эффектив практиклар белән танышырга вакыт.
КерешOAuth 2.0 протокол хәзерге вакытта төрле кушымталарда киң кулланыла. Аны кулланып, уңайлы кулланучы интерфейсы Мөмкин булганны һәм авторизаны кулланучы исемен һәм серсүзне кертү җиңелрәк була. Дөрес һәм уйлы тормышка ашыру белән, Oauth ProtOTL традицион рөхсәт итүдән куркынычсызрак булачак, чөнки кулланучылар билгеле бер ресурска керү өчен өченче як гаризасы белән бухгалтерлык мәгълүматларын бүлешергә кирәк түгел. Кулланучылар еш кына Google хисапларын, Facebook яки Linkedin куллану, кайбер веб-сайтта теркәлергә кирәк булган саен яңа хисап ясау урынына керергә ярата. Шулай итеп, Оатон протокол безнең тормышны гадиләштерә.
Гомумән, популяр Oauth хезмәт күрсәтүчеләре бик ышанычлы. Google яки Facebook счеты белән керегез билгеле бер куркынычсызлык хисе уята, һәм ул дөрес. Протокол белгечләр җентекләп тикшерә. Барлык зәгыйфьлекләр дә һәрвакыт ясаучы командасы тарафыннан тиз төзәтелә. Ләкин, әйтергә кирәк, тулы куркынычсызлык хисе ялган булырга мөмкин.
OUAT хезмәте провайдерлары заявка уйлап табучыларны үз программаларының куркынычсызлыгы белән көрәшергә бик күп сәбәпләр калдырдылар. Чынлыкта, башта үз идарә итү процессында дөрес тормышка ашырылмаган OUAU хезмәте, кертүчеләр өчен җиңел максат булырга мөмкин. Мондый мәшәкатьләр кулланучыларның шәхси мәгълүматларына китерәчәк.
Алга таба, сез Оутевот протоколына кулланучыларга рөхсәт бирүче өченче зәгыйфь заявкаларга очратырга тиеш. Протокол үзе куркынычсыз һәм ышанычлы дип истә тотарга кирәк. Дөрес булмаган тормышка ашырганнан соң гына, хакер һөҗүмнәренә зәгыйфь була.
Реферея башы ярдәмендә оует токым урлауЗаявка кулланучы исеменнән кулланучы исеменнән рөхсәт сорагач, кеше алдагы тикшерү өчен серверга кире кайту өчен кодны кабул итә. Эш вакытында кулланучы бүтән биткә юнәлтеләчәк, Кодекс "Реферүче" ндә HTTP соравы башында күренәчәк. Шулай итеп, код Оутевер серверында теркәлгән кулланучы мәгълүматларына куркыныч янаган тышкы сайтта төшәчәк.
Искәрмә: реферүче башы - http соравы башы, ул сорау җибәрелгән URL хуҗасына тапшыра.
Бу зәгыйфьлек нәтиҗәләрен йомшарту өчен, уйлап табучы аның веб-заявкасының бернинди HTML инъекцияләре юклыгына инанырга тиеш. Әгәр дә инъекция табылса, һөҗүмче веб-серверга рәсем тегын җиңел генә куя ала һәм кулланучыны аның белән юнәлтү юлын табыгыз. Шулай итеп, ул "Реферүче" кодын http соравыннан урлау мөмкинлеген алачак.
Repirect_uri Parameter кулланып OAugo токки урлауКушымта Oauth серверына сорау җибәреп авторизация процессын башлый:
https://www.example.com/signin/authoriz!
Сорау һәрвакытта "Redirect_ure" параметрын үз эченә ала, кулланучы рөхсәтен биргәннән соң, кушымтага кире кайтарырга. Әгәр дә бу параметрның бәясе контрольдә тотылмаган булса, һөҗүмче аны җиңел генә үзгәртә һәм үз сайтына сорауны юнәлтә ала, анда бу билге эшкәртү һәм чикләнгән ресурентка керү өчен махсус программа куллана ала.
https:/www.example.com/signin/authoriz!
Кайвакыт охшаш урланнар блокланган. Theөҗүмче кабул ителгән мәгълүматны ачык URL-та юнәлтә ала, шулай бит:
https:/www.example.com/oauth20_ahthorizorizorist.srf? dostormous.google.com/Хефтотутсумтрегет? йөкләүде //evil.com.
Яисә бу:
https:/www. example.com/oauth2/authoriz? [...]% kreat_uri = https% 3а 2fpaps.face.com% 2fattacker% 2f.
Оутны тормышка ашырганда, сез беркайчан да ак исемлектәге бөтен доменнарны кертә алмыйсыз. "Redirect_urid" өчен берничә URL-ның берничә урлы өстәергә кирәк, юнәлтү соравы белән юнәлтми.
Кросс-линия соравын алуЭчке аш соравы көчләүче корбан китерү корбанга аның сылтамасына басыгыз һәм шулай итеп, ул барлыкка килешен теләмәгән сорау тудырганда барлыкка килергә мөмкин. Кросс-линия үтенечләрен яхшыру, гадәттә, кулланучы сессиясе белән бәйле CSRF билгесе белән йомшартыла. Бу гаризаны җибәрүне җибәргән кешенең шәхесен тикшерергә ярдәм итә. Оутево протоколындагы "дәүләт" параметры CSRF билгесе булып хезмәт итә.
CSRF һөҗчүнең Оаутта ничек алып барылуын һәм "дәүләт" параметры зәгыйфьлеген йомшарту өчен кулланылырга мөмкин.
Хакер Веб кулланучыны ача һәм авторизация процессын башларга, Оут ярдәмендә хезмәт күрсәтүчегә керү процессын башлый. Заявка бирү ихтыяҗларын тәэмин итү өчен хезмәт күрсәтүчесен сорый. Хакер хезмәт күрсәтүче сайтына юнәлтеләчәк, анда сез гадәттә кулланучы исемегезне һәм серсүзне рөхсәт итәр өчен керергә тиеш. Киресенчә, хакер бу үтенечне тота һәм комачаулый, URL-ны саклый. Хакерны ничектер корбанга бу URL ачарга этәрә. Әгәр дә корбан сервис провайдер системасына счетын кулланып хезмәт күрсәтүче системасына керсә, аның таныклыклары авторизация коды бирү өчен кулланылачак. Аказ билгесенә авторизация коды алмашуы керә. Хәзер кушымтадагы хакер счеты рөхсәтле. Бу корбанның счетына керә ала.
Шулай итеп, мин бу хәлне ничек "дәүләт" параметрын кулланып ничек саклый алам?
Заявка чыганак счетына нигезләнгән кыйммәтне булдырырга тиеш (мәсәлән, кулланучы сессиясен куллану Хэш ачкычын кулланыгыз). Аның нәрсә икәнлеге бик мөһим түгел, иң мөһиме - кыйммәт уникаль һәм оригиналь кулланучы турында шәхси мәгълүмат кулланып тудыру. Ул "Дәүләт" параметрына бирелә.
Бу кыйммәт юнәлгәндә сервис провайдерына бирелә. Хәзер хакер корбанны саклап калу өчен URL ачарга чакыра.
Авторизация коды бирелә һәм сессиядә клиентка "Дәүләт" параметры белән бергә җибәрелә.
Клиент сессиягә нигезләнгән параметр бәясен ясый һәм аны авторизацияләү соравыннан кире кайтарылган "дәүләт" кыйммәте белән чагыштыра. Бу кыйммәт сораудагы "дәүләт" параметрына туры килми, чөнки ул агымдагы сессия турында мәгълүмат нигезендә ясалган. Нәтиҗәдә, алынган кыйммәт система тарафыннан кабул ителми.
OAuth'ны тормышка ашырганда бүтән застралар ачыкланган XSS (Сайтны сценарий) "Redirect_ure" параметрын үткәргәндә (ачкычны бозганда) (ачкыч кайвакыт мобиль кушымтаны бозганда) һәм Рөхсәт коды кагыйдәләре (кайчан Авторизация коды берничә керү билгесен бирү өчен берничә тапкыр кулланылырга мөмкин). Бу зәгыйфьлек югарыда әйтелгәннәргә караганда аз аерылып тора, ләкин ул аларны куркынычрак итми. Эш итүче веб-заявкасының ышанычлы эшләвен тәэмин итү өчен барлык кирәкле тәҗрибәләр белергә тиеш.
Тәрҗемә ителгән статья авторы: Саймон Салиба.
МPPим! Академик максатларда мәгълүмат. Зинһар, законнарны үтәгез һәм бу мәгълүматны законсыз максатларда кулланмагыз.
Cisoclub.ru сайтында кызыклырак материал. Безгә язылу: Facebook | ВК | Твиттер | Инстаграм | Телеграмма | Зен | Рәсүл | ICQ NAW | YouTube | Импульс.