與OpenSSL一樣，OAuth(Open Authorization)作為應用廣泛的開源第三方登錄認證協(xié)議，今年也爆出了安全漏洞。在第三屆知道安全論壇上，來自新浪微博的藍色di雪球表示新浪早在今年3月就發(fā)現(xiàn)了這個漏洞，并從OAuth的發(fā)展、OAuth的調(diào)用方式、OAuth風險分析以及如何利用OAuth漏洞幾個方面展開了精彩的演講。

成都網(wǎng)站建設哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設計、成都網(wǎng)站建設、微信開發(fā)、微信小程序開發(fā)、集團成都定制網(wǎng)站等服務項目。核心團隊均擁有互聯(lián)網(wǎng)行業(yè)多年經(jīng)驗，服務眾多知名企業(yè)客戶；涵蓋的客戶類型包括：混凝土泵車等眾多領域，積累了大量豐富的經(jīng)驗，同時也獲得了客戶的一致表揚！

OAuth是什么?OAuth協(xié)議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。與以往授權方式不同，通過授權團隊可以不使用用戶名密碼，第三方就可以再某網(wǎng)絡獲得數(shù)據(jù)和信息。

OAuth調(diào)用方式有四種，比較常用的有兩種：Authorization Code與Implicit。藍色di雪球表示OAuth調(diào)用方式存在信息泄露、CSRF、URL回調(diào)污染以及權限認證利用的風險。其中信息泄露包含：Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授權劫持以及綁定劫持。

如何優(yōu)雅的利用OAuth漏洞?藍色di雪球表示，經(jīng)用戶授權，與第三方網(wǎng)站綁定，并登錄賬戶后，攻擊者通過構造OAuth回調(diào)污染發(fā)送私信，實現(xiàn)釣魚誘使用戶點擊URL從而劫持用戶的應用方身份。另外，拿到Access_token可能劫持大V用戶發(fā)微博、劫持大量用戶發(fā)評論、劫持信任攻擊、刪除指定微博、刷粉、強制關注，甚至獲得商業(yè)數(shù)據(jù)。

由于被第三方廣泛應用和大量歷史遺留問題OAuth漏洞的修復在短時間內(nèi)難以完成，而針對URL回調(diào)污染問題的修復，藍色di雪球建議明確風險，進行日志分析，并檢測全路徑。

最后，藍色di雪球表示未來OAuth可能存在授權濫用以及授權token被拖庫的風險。對此，他建議直接封禁上行權限，封禁應用。

標題名稱：OAuth認證存漏洞小心用戶身份被劫持
本文網(wǎng)址：http://uogjgqi.cn/article/dhhpoos.html