Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 4 из 4
  1. #1
    TopicStarter
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    377
    Репутация
    143 + / -
    Программист

    Студент-математик нашёл уязвимость в OpenID и OAuth 2.0

    OAuth и OpenID — очень популярные протоколы, которые совместно используются для авторизации и аутентификации. Приложение OAuth генерирует токены для клиентов, а OpenID предоставляет возможность децентрализованной аутентификации на сторонних сайтах, раскрывая персональные данные пользователей.

    Студент Ван Цзин (Wang Jing) с факультета математики Наньянского технологического университета в Сингапуре [Только зарегистрированные могут видеть это. ], как злоумышленник может перехватить персональные данные пользователей, перенаправив их на вредоносный сайт после авторизации. Речь идет об уязвимости типа скрытого редиректа ([Только зарегистрированные могут видеть это. ]), по аналогии с известной атакой [Только зарегистрированные могут видеть это. ].



    В этом случае провайдер (Facebook, Google и проч.) видит, что информацию запрашивает нормальное приложение, но на самом деле пользователя скрыто направляют на другой сайт, заменив значение redirect_uri в URL.



    Уязвимость затрагивает множество крупных сайтов, такие как Facebook, Google, Yahoo, LinkedIn, Microsoft, VK, Mail.Ru, PayPal, GitHub и другие. Все они выдают по запросу злоумышленника персональные данные пользователя. В случае Facebook это может быть имя, фамилия, почтовый адрес, возраст, место жительства, место работы и проч.



    Кстати, open redirect входит в число 10 главных атак за 2013 год по версии OWASP.

    Ван Цзин опубликовал видеоролик, в котором показывает способ эксплуатации уязвимости, на примере Facebook OAuth 2.0. По его словам, защититься от таких атак можно только с помощью «белого списка» сайтов для редиректа.


  2. 3 пользователя(ей) сказали cпасибо:
  3. #2
    Trust
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,439
    Репутация
    159 + / -
    Безопасность
    Оу.. Когда это стало известно?
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  4. #3
    TopicStarter
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    377
    Репутация
    143 + / -
    Программист
    Цитата Сообщение от admin Посмотреть сообщение
    Оу.. Когда это стало известно?
    На xakep.ru было опубликовано пару часов назад. На зарубежных сайтах вроде как 02 мая 2014 г.
    Последний раз редактировалось Fischer2014; 04.05.2014 в 17:05.

  5. #4
    Trust
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,439
    Репутация
    159 + / -
    Безопасность
    Цитата Сообщение от Fischer Посмотреть сообщение
    На xakep.ru было опубликовано пару часов назад. На зарубежных сайтах вроде как 02 мая 2014 г.
    Спасибо
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.