IT

Сингапурский студент обнаружил серьезную уязвимость в OAuth и OpenID

Сингапурский студент обнаружил серьезную уязвимость в OAuth и OpenID

Вслед за “дырой” в OpenSSL под названием Heartbleed, о которой неоднократно писалось, появились сообщения об еще одной уязвимости, способной серьезно отразиться на работе множества пользователей в интернете. Речь в данном случае идет об уязвимости в OAuth 2.0 и OpenID, популярных протоколах авторизации и аутентификации, используемых, в том числе, сервисами таких гигантов IT-индустрии, как Facebook, Microsoft, LinkedIn и Google, а обнаружил ее сингапурский студент-математик по имени Ванг Цзин (Wang Jing).

Computer-cables-internet-optical-fiber_1920x10801

Данный учащийся факультета математики Наньянского технологического университета в Сингапуре нашел способ, как злоумышленники могут перехватить персональные данные пользователей, перенаправив их на специально созданный сайт после авторизации. Речь в таком случае идет о так называемом “скрытом редиректе” (Covert Redirect), известной и часто используемой хакерами методике, когда пользователь обманом направляется на вредоносный сетевой ресурс, ворующий персональную информацию (включая логины) .

http://www.ferra.ru/ru/techlife/news/2014/05/05/security-flaw-in-oauth-and-openid/?from=rss#.VIKN44V5MxB

0 CommentsLeave a comment

Security-Bug: Facebook- und Google-Login unsicher

Security-Bug: Facebook- und Google-Login unsicher

Der nächste Hammer nach dem OpenSSL-Bug: Die sehr weit verbreiteten Login-Protokolle OpenID und OAuth 2.0 haben eine Sicherheitslücke, über die Angreifer an vertrauliche Daten der Nutzer gelangen können. Dies fand Wang Jing, ein Student der Nanyang Technological University in Singapur, heraus. Betroffen sind diverse große Webdienste, die auf diese Protokolle setzen, zum Beispiel Google, Facebook, Microsoft und PayPal.

binary-code-image

 

 

Sicherheitsrisiko: Login via Facebook oder Google sind angreifbar

 


OpenID und OAuth, wie OpenSSL Open-Source-Anwendungen, dienen als Login-Methode für Webdienste und Apps. User können sich darüber mit einem bestehenden Konto (etwa von Facebook oder Google) bei dem Dienst registrieren, ohne dort ein eigenes Benutzerkonto anlegen zu müssen. Ähnlich funktioniert auch die Anmeldung bei Facebook-Apps. In beiden Fällen hat der User den Vorteil, dass seine Anmeldedaten bei Google oder Facebook bleiben, der neue Dienst also weder E-Mail-Adresse noch Passwort erhält.

http://www.chip.de/news/Security-Bug-Facebook-und-Google-Login-unsicher_69512331.html

0 CommentsLeave a comment

The Weather Channel fixes web app flaws

The Weather Channel fixes web app flaws

 

 

The Weather Channel has fixed a common web application security problem on its website that made nearly all links vulnerable to cross-site scripting attacks.

A19D55

Wang Jing, a doctoral student at the School of Physical and Mathematical Sciences at Nanyang Technological University in Singapore, found more than 75 percent of the Web pages on Weather.com were vulnerable.

 

“Attackers just need to add script at the end of The Weather Channel’s URLs,” Wang wrote. “Then the scripts will be executed.”

 

 

http://www.computerworld.com/article/2852502/weathercom-fixes-web-app-flaws.html

0 CommentsLeave a comment

隱蔽重定向(Covert Redirect)因其對 OAuth 和 OpenID 的影響而為人所知

computer_forensics

隱蔽重定向英语:Covert Redirect)[1],是關於單點登錄 (Single sign-on) 的安全漏洞。因其對 OAuth 和 OpenID 的影響而為人所知[2]。由新加坡南洋理工大學物理和數學科學學院博士生王晶(Wang Jing)發現並命名[3]

Covert Redirect的壹個重要應用是phishing[4],別的網站釣魚是用假的網站,而 Covert Redirect卻是用真的知名網站進行釣魚。這是壹種完美釣魚方式[5]

https://zh.wikipedia.org/wiki/%E9%9A%B1%E8%94%BD%E9%87%8D%E5%AE%9A%E5%90%91%E6%BC%8F%E6%B4%9E

0 CommentsLeave a comment

两款互联网登录系统曝出重大漏洞 短期内或无法修复 (Covert Redirect)

安全漏洞

继OpenSSL漏洞后,开源安全软件再曝安全漏洞新加坡南洋理工大学安全研究人员,物理和数学科学学院博士生王晶(Wang Jing )发现,Oauth 2.0, OpenID 授权接口的网站存隐蔽重定向漏洞、英文名为“Covert Redirect”。[1-2]   

 

入侵技术

攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。[2] 

 

 

 

漏洞危害

黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。[1] 

腾 讯,阿里巴巴,QQ、新浪微博、淘宝网,支付宝,网易,PayPal, eBay, Amazon, Facebook、Google, LinkedIn, Yahoo, VK.com, Microsoft,  Mail.ru, Github, WordPress 等国内外大量知名网站受影响。[1] 

 

鉴 于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及 LinkedIn——Wang表示他已经向这些公司已经了汇报。Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有 站点。Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。至于Google,预计该公司会追 踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。[2] 

 

 

 

背景知识

Oauth是 一个被广泛应用的开放登陆协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的信息(如照片,视频,联系人列表),而无需将用户名和密码提供给 第三方应用。这次曝出的漏洞,可将Oauth2.0的使用方(第三方网站)的回跳域名劫持到恶意网站去,黑客利用XSS漏洞攻击就能随意操作被授权的账 号,读取用户的隐私信息。像腾讯、新浪微博等社交网站一般对登陆回调地址没有任何限制,极易遭黑客利用。[1] 

 

 

 

 

参考资料,

0 CommentsLeave a comment