וואַלנעראַביליטיז אָאַוטה | ווי צו ינסטרומענט סע דערלויבעניש אין דיין וועב אַפּלאַקיישאַן

דער אַרטיקל וועט האַנדלען מיט די געזונט-באקאנט אָוט וואַלנעראַביליטיז. לייענער וועלן אויך לערנען ווי צו ינסטרומענט זיכער און זיכער אַוטהאָריזאַטיאָן אין די וועב אַפּלאַקיישאַן.

אָאַוטה איז אַ פאַרלאָזלעך פּראָטאָקאָל, אָבער זייַן גראַד פון זיכערהייט לאַרגעלי דעפּענדס אויף די וויסיקייַט פון וועב דעוועלאָפּערס ווען ימפּלאַמענינג דערלויבעניש. דאָס מאכט דעם טעמע גאָר וויכטיק פֿאַר אינפֿאָרמאַציע זיכערהייַט פּראָפעססיאָנאַלס. זיי דאַרפֿן צו צושטעלן אַ הויך שוץ פון אַקאַונץ פון זייער ניצערס. עס איז צייט צו באַקומען באַקאַנט מיט עפעקטיוו פּראַקטישנערז וואָס וועט העלפֿן צו רעדוצירן די געפאַר פון נעבעך סעלינג אָאַוטה.

הקדמה

Oauth 2.0 פּראָטאָקאָל איז דערווייַל וויידלי געניצט אין פאַרשידן אַפּלאַקיישאַנז. ניצן עס, אַ באַקוועם באַניצער צובינד ווערט פאַראַנען, גרינגער אָטענטאַקיישאַן און דערלויבעניש קאַמפּערד מיט בעקאַבאָלעדיק מעטהאָדס צו אַרייַן די נאמען און שפּריכוואָרט. מיט געהעריק און פאַרטראַכט ימפּלאַמענטיישאַן, די אָאַוטה פּראָטאָקאָל וועט זיין סאַפער ווי טראדיציאנעלן דערלויבעניש, ווייַל ניצערס טאָן ניט דאַרפֿן צו טיילן זייער אַקאַונטינג דאַטן מיט אַ דריט-פּאַרטיי אַפּלאַקיישאַן צו אַקסעס אַ ספּעציפיש מיטל. יוזערז אָפט בעסער צו קלאָץ אין מיט זייער Google אַקאַונץ, פאַסעבאָאָק אָדער לינקעדין, אַנשטאָט פון קריייטינג אַ נייַ חשבון יעדער מאָל איר דאַרפֿן צו פאַרשרייַבן אויף עטלעכע וועבזייטל. אזוי, דער אָאַוט פּראָטאָקאָל שטארק סימפּלאַפייז אונדזער לעבן.

אין אַלגעמיין, פאָלקס אָון דינסט פּראַוויידערז זענען זייער פאַרלאָזלעך. קלאָץ אין מיט Google אָדער Facebook חשבון ינספּירז אַ זיכער געפיל פון זיכערהייט און עס איז ריכטיק. דער פּראָטאָקאָל איז קערפאַלי טעסטעד דורך עקספּערץ. אַלע פאַראַנען וואַלנעראַביליטיז זענען שטענדיק געשווינד קערעקטאַד דורך די דעוועלאָפּער מאַנשאַפֿט. אָבער, עס איז כדאי צו באמערקן אַז די געפיל פון גאַנץ זיכערקייַט קענען זיין פאַלש.

אָאַוטה סערוויס פּראַוויידערז לינקס אַפּלאַקיישאַן דעוועלאָפּערס פילע סיבות צו פאַרדינען די זיכערקייַט פון זייער מגילה. אין פאַקט, די טכילעס פּראָטעקטעד אָאַוטה דינסט, ינקערעקטלי ימפּלאַמענאַד אין דעם פּראָצעס פון די ינסטאַלירונג, קענען ווערן אַן גרינג ציל פֿאַר ינטרודערז. אַזאַ פּריאַקיאַפּאַסי וועט פירן צו די גנייווע פון ​​פערזענלעכע דאַטן פון ניצערס.

דערנאָך איר זאָל באַטראַכטן די מערסט פּראָסט וואַלנעראַביליטיז געפּלאָנטערט אין דריט-פּאַרטיי אַפּלאַקיישאַנז אַז ינסטרומענט אָאַוטה פּראָטאָקאָל צו דערלויבן זייער ניצערס. עס מוזן זיין דערמאנט אַז די פּראָטאָקאָל זיך איז זיכער און פאַרלאָזלעך. בלויז נאָך פאַלש ימפּלאַמענטיישאַן, עס איז שפּירעוודיק פֿאַר העקער אַטאַקס.

אָאַוטה טאַקקיי גנייווע ניצן די רעפערער כעדער

ווען די אַפּלאַקיישאַן ריקוועס אַוטהאָריזאַטיאָן אויף ביכאַף פון די באַניצער אין די Oauth Server, אַ מענטש באקומט דעם קאָד צו אַרייַן און שיקן צוריק צו די סערווער פֿאַר די סערווער פֿאַר די סערווער פֿאַר זיין סאַבסאַקוואַנט טשעק. אויב דער באַניצער וועט זיין רידערעקטיד צו אן אנדער בלאַט, דער קאָד וועט זיין געזען אין די "רעפערער" כעדער פון די הטטפּ בעטן. דער קאָד וועט פאַלן אויף דער פונדרויסנדיק וועבזייטל, וואָס וועט סטראַשען די באַניצער דאַטן זענען רעגיסטרירט אויף די Oauth Server.

באַמערקונג: דער רעפערער כעדער איז אַן הטטפּ Query כעדער, עס טראַנזמיץ די URL באַלעבאָס פון וואָס די בעטן איז געשיקט.

צו פאַרווייכערן די קאַנסאַקווענסאַז פון דעם וואַלנעראַביליטי, די דעוועלאָפּער מוזן מאַכן זיכער אַז די וועב אַפּלאַקיישאַן כּולל קיין וועב אַפּלאַקיישאַן כּולל קיין וועב אַפּלאַקיישאַן כּולל קיין וועב אַפּלאַקיישאַן כּולל קיין טעלעפאָן HTML ינדזשעקשאַנז. אויב די ינדזשעקשאַנז זענען געווען דיטעקטאַד, די אַטאַקער קענען לייכט שטעלן די בילד קוויטל צו זייַן וועב סערווער און געפֿינען אַ וועג צו רידערעקט די באַניצער אויף עס. אזוי, ער וועט באַקומען די געלעגנהייט צו גאַנווענען די קאָד פון די "רעפערער" כעדער פון די הטטפּ בעטן.

אָאַוטה טאַקקיי גנייווע ניצן די רידערעקט_ורי פּאַראַמעטער

די אַפּלאַקיישאַן ינישיאַץ די דערלויבעניש פּראָצעס דורך שיקן אַ בקשה צו די Oauth Server:

https://www.example.com/signin/ :. -.

די אָנפֿרעג כּולל שטענדיק די "Redirect_uri" פּאַראַמעטער געניצט דורך די Oauth Server צו שיקן טאָקענס צוריק צו דער אַפּלאַקיישאַן נאָך דער באַניצער געגעבן זיין צושטימען. אויב די ווערט פון דעם פּאַראַמעטער איז נישט קאַנטראָולד אָדער נישט אָפּגעשטעלט, די אַטאַקער קענען לייכט טוישן עס און רידערעקט די בעטן צו זייַן וועבזייטל, ווו עס ניצט אַ ספּעציעל פּראָגראַם פֿאַר פּראַסעסינג די סימען און באַקומען אַקסעס צו אַ לימיטעד מיטל.

https://www.example.com/signin/ :.

טייל מאָל ענלעך URL ס זענען אפגעשטעלט. דער אַטאַקער קענען רידערעקט די באקומען דאַטן אויף די עפענען URL, ווי דאָס:

https://www.example.com/oauth20_autherize.srf.Srf.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.SRF.ATTPPS:/0.TTPSELTILSCHITTTCHITTTTPSEL.com.

אָדער דאָס:

https://www.example.com/oauth2/authorize? [...]% Irtp_uri = 3A% 2F% 2FAPS.FaceBook.com% 2FATCARK.COM% 2F.

ווען ימפּלאַמענינג אָאַוטה, איר קענען קיינמאָל אַרייַננעמען גאַנץ דאָמאַינס אין די ווייַס רשימה. בלויז עטלעכע URL ס זאָל זיין מוסיף צו "Redirect_uri" ניט רידערעקטיד אַ בקשה צו עפענען רידערעקט.

פאָרדזשערי פון קרייַז-ליניע ריקוועס

פאָרדזשערי פון אַ ינטערסיגהט בעטן קען פּאַסירן ווען אַ אַטאַקער איז געראָטן צו מאַכן די קאָרבן צו גיט אויף זיין לינק און אַזוי, צו דזשענערייט אַ בקשה אַז ער איז נישט געגאנגען צו דזשענערייט. פאָרדזשערי פון קרייַז-ליניע ריקוועס איז יוזשאַוואַלי סאָפאַנד מיט די CSRF סימען, וואָס איז פֿאַרבונדן מיט די באַניצער סעסיע. עס העלפּס די אַפּלאַקיישאַן צו קאָנטראָלירן דעם מענטש פון אַ מענטש וואָס געשיקט די בעטן. די "שטאַט" פּאַראַמעטער אין די אָאַוט פּראָטאָקאָל סערוועס ווי CSRF סימען.

עס איז ווערט וויוינג ווי די קסרף באַפאַלן איז געפירט אויס אויף אָאַוטה און ווי די "שטאַט" פּאַראַמעטער קענען ווערן גענוצט צו פאַרמינערן די יפעקס פון וואַלנעראַביליטי.

העקער אָפּענס אַ וועב אַפּלאַקיישאַן און לאָנטשיז די אַוטהאָריזאַטיאָן פּראָצעס צו צוטריט די סערוויס שפּייַזער ניצן Oauth. די אַפּלאַקיישאַן ריקוועס אַ סערוויס שפּייַזער צו אַקסעס וואָס דאַרף צו זיין צוגעשטעלט. העקער וועט זיין רידערעקטיד צו די וועבזייטל שפּייַזער, ווו איר יוזשאַוואַלי דאַרפֿן צו אַרייַן דיין נאמען און שפּריכוואָרט צו דערלויבעניש אַקסעס. אַנשטאָט, די העקער קאַטשאַז און פּריווענץ דעם בעטן און סאַוועס זייַן URL. העקער עפעס ז די קאָרבן צו עפענען דעם URL. אויב די קאָרבן אריין די סיסטעם פון די סערוויס שפּייַזער ניצן זיין חשבון, און די קראַדענטשאַלז וועט זיין געניצט צו אַרויסגעבן אַ דערלויבעניש קאָד. דער אויטאָריטעט קאָד יקסטשיינדזשיז אַקסעס צו די אַקסעס סימען. איצט דער העקער חשבון אין די אַפּלאַקיישאַן איז אָטערייזד. עס קענען אַקסעס די קאָרבן ס חשבון.

אַזוי, ווי קען איך פאַרמייַדן דעם סיטואַציע מיט די "שטאַט" פּאַראַמעטער?

די אַפּלאַקיישאַן מוזן מאַכן אַ ווערט וואָס איז עפעס באזירט אויף די מקור חשבון (למשל, נוצן די באַניצער סעסיע האַש שליסל). עס איז נישט אַזוי וויכטיק וואָס עס איז, די הויפּט זאַך איז אַז די ווערט איז יינציק און דזשענערייטאַד ניצן פּריוואַט אינפֿאָרמאַציע וועגן דער אָריגינעל באַניצער. עס איז באַשטימט צו די "שטאַט" פּאַראַמעטער.

דער ווערט איז טראַנסמיטטעד צו די סערוויס שפּייַזער ווען רידערעקטינג. איצט די העקער ינווייץ די קאָרבן צו עפֿענען די URL, וואָס ער ריטיינד.

דער דערלויבעניש קאָד איז ארויס און געשיקט צוריק צו דער קליענט אין דער סעסיע מיט די "שטאַט" פּאַראַמעטער.

דער קליענט דזשענערייץ אַ פּאַראַמעטער ווערט באזירט אויף אַ סעסיע אינפֿאָרמאַציע און קאַמפּערז עס מיט די "שטאַט" ווערט, וואָס איז געשיקט צוריק פון דער דערלויבעניש פֿאַר דער דינסט צו דער דינסט שפּייַזער. דער ווערט קען נישט שטימען מיט די "שטאַט" פּאַראַמעטער אין די אָנפֿרעג, ווייַל עס איז דזשענערייטאַד בלויז אויף דער באזע פון ​​אינפֿאָרמאַציע וועגן דעם קראַנט סעסיע. ווי אַ רעזולטאַט, די באקומען ווערט איז ניט אנגענומען דורך די סיסטעם.

אנדערע וואַלנעראַביליטיז דיטעקטאַד ווען ימפּלאַמענטינג אָאַוטה אַרייַננעמען די פיייקייט צו דורכפירן XSS (קרייַז-פּלאַץ סקריפּטינג) ניצן די "Redirect_uri" פּאַראַמעטער, דער שליסל קענען זיין באקומען ווען דיקאַמפּייזינג אַ רירעוודיק אַפּלאַקיישאַן) און דיקאַמפּאַליישאַן קאָד דער דערלויבעניש קאָד קענען זיין געוויינט מער ווי צו אַרויסגעבן קייפל אַקסעס טאָקענס). די וואַלנעראַביליטיז זענען ווייניקער אָפט ווי די דיסקרייבד אויבן, אָבער דאָס קען נישט מאַכן זיי ווייניקער געפערלעך. די דעוועלאָפּער זאָל וויסן אַלע די נויטיק פּראַקטיסיז צו ענשור פאַרלאָזלעך אָפּעראַציע פון ​​דער וועב אַפּלאַקיישאַן.

דער מחבר פון די איבערגעזעצט אַרטיקל: שמעון סיבאַ.

וויכטיק! אינפֿאָרמאַציע בלויז פֿאַר אַקאַדעמיק צוועקן. ביטע נאָכקומען מיט געסעצ - געבונג און טאָן ניט צולייגן דעם אינפֿאָרמאַציע פֿאַר ומלעגאַל צוועקן.

מער טשיקאַווע מאַטעריאַל אויף Sisoclub.ru. אַבאָנירן צו אונדז: פאַסעבאָאָק | VK | Twitter | Instagram | טעלעגראַם | Zen | מעסינדזשער | Ick New | יאָוטובע | דויפעק.