-
隱蔽重定向漏洞
鎖定
- 中文名
- 隱蔽重定向漏洞
- 外文名
- Covert Redirect
- 類 屬
- 安全漏洞
- 所屬領域
- 計算機軟件安全
隱蔽重定向漏洞入侵技術
攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。
[2]
隱蔽重定向漏洞漏洞危害
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站鏈接引誘用户登錄釣魚網站,一旦用户訪問釣魚網站併成功登陸授權,黑客即可讀取其在網站上存儲的私密信息。
[1]
鑑於OAuth和OpenID被廣泛用於各大公司——如微軟、Facebook、Google、以及LinkedIn——Wang表示他已經向這些公司已經了彙報。Wang聲稱,微軟已經給出了答覆,調查並證實該問題出在第三方系統,而不是該公司的自有站點。Facebook也表示,“短期內仍無法完成完成這兩個問題的修復工作,只得迫使每個應用程序平台採用白名單”。至於Google,預計該公司會追蹤OpenID的問題;而LinkedIn則聲稱它將很快在博客中説明這一問題。
[2]
隱蔽重定向漏洞背景知識
Oauth是一個被廣泛應用的開放登陸協議,允許用户讓第三方應用訪問該用户在某一網站上存儲的私密的信息(如照片,視頻,聯繫人列表),而無需將用户名和密碼提供給第三方應用。這次曝出的漏洞,可將Oauth2.0的使用方(第三方網站)的回跳域名劫持到惡意網站去,黑客利用XSS漏洞攻擊就能隨意操作被授權的賬號,讀取用户的隱私信息。像騰訊、新浪微博等社交網站一般對登陸回調地址沒有任何限制,極易遭黑客利用。
[1]
- 參考資料
-
- 1. Oauth2.0協議曝漏洞 大量社交網隱私或遭泄露 .人民網[引用日期2014-05-04]
- 2. OAuth與OpenID登錄工具曝出重大漏洞 .網易[引用日期2014-05-04]