Ushbu maqola taniqli OAUS zaifliklari bilan shug'ullanadi. O'quvchilar, shuningdek, veb-ilovada xavfsiz va xavfsiz avtorizatsiya qilishni o'rganadilar.
OAuth - ishonchli protokol, ammo uning xavfsizligi darajasi ko'p jihatdan veb-ishlab chiqaruvchilarning avtorizatsiyasini amalga oshirishda xabardorligiga bog'liq. Bu ushbu mavzuni axborot xavfsizligi mutaxassislari uchun juda muhimdir. Ular o'z foydalanuvchilarining hisobvaraqlarini yuqori darajada himoya qilishlari kerak. Samarali amaliyotchilar bilan tanishish vaqti keldi, ular yomon sotish xavfini kamaytirishga yordam beradi.
KirishORAut 2.0 Protokol turli xil dasturlarda keng qo'llaniladi. Undan foydalanib, foydalanuvchi interfeysi foydalanuvchi nomi va parolini kiritish uchun an'anaviy usullar bilan solishtirganda an'anaviy autentifikatsiya va avtorizatsiya mavjud. Oyost Protokol to'g'ri va o'ychan amalga oshirilayotgan holda an'anaviy ruxsatdan ko'ra xavfsizroq bo'ladi, chunki foydalanuvchilar ma'lum bir manbaga kirish uchun uchinchi tomon arizasi bilan buxgalteriya ma'lumotlarini baham ko'rishlari shart emas. Foydalanuvchilar har safar ba'zi veb-saytda ro'yxatdan o'tishingiz kerak bo'lgan yangi hisob qaydnomasini yaratish o'rniga, foydalanuvchilar yangi hisob qaydnomasini yaratish o'rniga, ko'pincha yangi hisob qaydnomasini yaratish o'rniga ular o'zlarining GoogleBews yoki LinkedIn-dan foydalanishni afzal ko'rishadi. Shunday qilib, OAUS Protokol hayotimizni juda osonlashtiradi.
Umuman olganda, mashhur OAUTER Serviser Procerers juda ishonchli. Google yoki Facebook hisob qaydnomasi bilan tizimga kiring, ma'lum bir xavfsizlik hissini ilhomlantiradi va u to'g'ri. Protokol mutaxassislar tomonidan ehtiyotkorlik bilan sinovdan o'tkaziladi. Barcha mavjud zaifliklar ishlab chi jamoasi tomonidan tezda tuzatiladi. Biroq, shuni ta'kidlash kerakki, to'liq xavfsizlik falotsi noto'g'ri bo'lishi mumkin.
Outponning provayderlari dasturlarni ishlab chiquvchilarni o'zlarining dasturlarining xavfsizligini engish uchun juda ko'p sabablarni qoldiradilar. Aslida, dastlabki himoyalangan OAuthorlik xizmati, uni o'rnatish jarayonida noto'g'ri qo'llanilgan, tajovuzkorlar uchun oson nishonga aylanishi mumkin. Bunday noo'rinlik foydalanuvchilarning shaxsiy ma'lumotlarini o'g'irlashga olib keladi.
Keyinchalik, siz OAAAS protokolida qatnashadigan eng keng tarqalgan zaiflikni ko'rib chiqishingiz kerak. Shuni esda tutish kerakki, protokolning o'zi xavfsiz va ishonchli. Faqat noto'g'ri amalga oshirilgandan keyingina, xakerlik hujumlariga moyil bo'ladi.
ORAute Powkey Thefter Exchange sarlavhasi yordamida o'g'irlashAgar ariza OAASS serverida foydalanuvchi nomidan avtorizatsiyani talab qilsa, odam uni keyingi tekshirish uchun kod kiritish va yuborish uchun kodni oladi. Agar ish paytida foydalanuvchi boshqa sahifaga yo'naltiriladi, kod HTTP so'rovining sarlavhasida ko'rinadi. Shunday qilib, Kodeks OAASS serverida ro'yxatdan o'tgan foydalanuvchi ma'lumotlariga tahdid soladigan tashqi veb-saytga tushadi.
Izoh: Yo'naltiruvchi sarlavhasi HTTP so'rov sarlavhasi, u so'rov yuborilgan URL xostini uzatadi.
Ushbu zaiflikning oqibatlarini yumshatish, ishlab chiqaruvchi uning veb-ilovasi hech qanday HTML in'ektsiyalariga ega ekanligiga ishonch hosil qilishi kerak. Agar in'ektsiya aniqlansa, tajovuzkor rasm yorlig'ini o'z veb-serveriga osongina o'rnatishi va foydalanuvchiga yo'naltirish uchun yo'l topishi mumkin. Shunday qilib, u "HTTP" so'rovining "Rayumer" dan kodni o'g'irlash imkoniyatiga ega bo'ladi.
ORAutt TOCKEY_UMI parametridan foydalangan holda o'g'irlashArizada OAUS serveriga so'rov yuborib, avtorizatsiya jarayonini boshlaydi:
https://www.exheam.com/salin/authoreGeGeize?
Foydalanuvchi har doim OAAutt serveri tomonidan ishlatiladigan "Qayta yuboruvchi_uri" parametrini foydalanuvchi rozilik berganidan keyin yuborilgandan so'ng yuborish uchun ORAUTS serveri tomonidan foydalaniladi. Agar ushbu parametrning qiymati nazorat qilinmasa yoki tekshirilmagan bo'lsa, tajovuzkor uni osongina o'zgartirishi va o'z markasini qayta ishlash uchun maxsus dasturni ishlatib, cheklangan manbaga ega bo'lish uchun so'rovni yo'naltirishi mumkin.
https://www.exheam.com/salin/authoreGeizze?
Ba'zida shunga o'xshash URL-lar bloklanadi. Hujumchi qabul qilingan ma'lumotlarni oshkora urlda qayta yo'naltirishi mumkin, shunga o'xshash:
https://www.exheam.com/outz0_authoreizector.srf? -0-ni tanlang.
Yoki bu:
https://www.exheample.com/out2/Avutore? [...]% Irect_UI = HTTPS% 2F% 2FApps.FaceBook.com% 2Fatcker% 2F% 2F.
Olovni amalga oshirishda siz hech qachon oq ro'yxatdagi butun domenlarni kiritishingiz mumkin emas. "RERIRIRECT_UII" ga faqat bir nechta URL manzillari qo'shilishi kerak emas.
Kasb-liniya so'rovlarini soxtalashtirishShogirdlik so'rovini soxtalashtirish, tajovuzkor jabrlanuvchini uning havolani bosish uchun qurboni bosish bilan bog'liq bo'lishi mumkin, shuning uchun u hosil bo'lmaydi degan iltimosni yaratish. CSRF tokeni bilan afsuslanadigan so'rovlarni soxtalashtirish CSRF token bilan birlashtirilgan. Bu ariza so'rovni yuborgan odamning shaxsini tekshirishga yordam beradi. OAAAS protokolidagi "Davlat" parametri CSRF tokeni sifatida xizmat qiladi.
KSRF hujumi qanday qilib OAUTSda qanday amalga oshirilishi va zaiflik oqibatlarini yumshatish uchun "davlat" parametridan foydalanishga arziydi.
Xaker veb-dasturni ochadi va xizmat ko'rsatuvchi provayderga OVAUT orqali kirish uchun avtorizatsiya jarayonini ishga tushiradi. Ushbu ilova xizmat ko'rsatuvchi provayderni taqdim etilishi uchun talab qiladi. Xaker kirish uchun ruxsat olish uchun foydalanuvchi nomingiz va parolingizni kiritishingiz kerak bo'lgan xizmat ko'rsatuvchi provayder veb-saytiga yo'naltiriladi. Buning o'rniga, xaker ushbu so'rovni ushlaydi va oldini oladi va URL manzilini saqlaydi. Xaker qandaydir tarzda jabrlanuvchini ushbu URL-ni ochishga olib keladi. Agar jabrlanuvchi xizmat ko'rsatuvchi provayder tizimiga egalik qilsa, unda avtorizatsiya kodini berish uchun uning hisob ma'lumotlari qo'llaniladi. Avtorizatsiya kodi birjalar kirish tokeniga kiradi. Endi arizada xaker hisobi ruxsat berilgan. Bu jabrlanuvchining hisobiga kirish mumkin.
Xo'sh, bu vaziyatni "Davlat" parametridan foydalanib, qanday qilib oldini olishim mumkin?
Ilova qandaydir manba hisobiga asoslangan qiymatni yaratishi kerak (masalan, foydalanuvchi sessiya xesh kalitidan foydalaning). Bu muhim emas, asosiy narsa bu qiymat noyob va asl foydalanuvchi haqidagi shaxsiy ma'lumotlardan foydalangan holda yaratilgan. U "Davlat" parametriga tayinlangan.
Ushbu qiymat qayta yo'naltirishda xizmat ko'rsatuvchi provayderga uzatiladi. Endi xaker jabrlanuvchini URL-ni ochishga taklif qiladi, u saqlab qoldi.
Avtorizatsiya kodi "Davlat" parametri bilan birga sessiyada mijozga qaytariladi va yuboriladi.
Mijoz sessiya ma'lumotlariga asoslangan parametr qiymatini yaratadi va uni xizmat ko'rsatuvchi provayderga yuborilgan "Davlat" qiymati bilan taqqoslaydi. Ushbu qiymat so'rovda "davlat" parametriga mos kelmaydi, chunki u faqat hozirgi seans haqida ma'lumot asosida yaratilgan. Natijada olingan qiymat tizim tomonidan qabul qilinmaydi.
Outh xususiy kalitietridan foydalanib, OAUS-ning shaxsiy kaliti yordamida XSS (REVERRETRECTSC-Scring) ni amalga oshirishda aniqlangan boshqa zaifliklar (ba'zan mobil ilovani dekanatsiyalash) qoidasi (qachon) Avtorizatsiya kodi bir nechta kirish rozetlarini berish uchun bir martadan ko'proq foydalanishingiz mumkin). Ushbu zaifliklar yuqorida aytib o'tilganlarga qaraganda kamroq, ammo bu ularni kamroq xavfli qilmaydi. Ishlab chiquvchi barcha zarur amaliyotni o'z veb-ilovasining ishonchli ishlashini ta'minlashi kerak.
Tarjima qilingan maqola muallifi: Simon Saliba.
Muhim! Ma'lumot faqat akademik maqsadlar uchun. Iltimos, qonunlarga rioya qiling va ushbu ma'lumotni noqonuniy maqsadlar uchun qo'llamang.
Cisoklub.Ru saytida yanada qiziqarli material. Bizga obuna bo'ling: Facebook | Vk | Twitter | Instagram | Telegramma Zin | Elchi | ICQ yangi | YouTube | Puls.