信息來源：國家互聯(lián)網(wǎng)應(yīng)急中心

 2018年1月21日，國家信息安全漏洞共享平臺（CNVD）接收了OAuth 2.0存在第三方帳號快捷登錄授權(quán)劫持漏洞（CNVD-C-2018-06621）。綜合利用上述漏洞，攻擊者可通過登錄受害者賬號，獲取存儲在第三方移動應(yīng)用上的敏感信息。由于OAuth廣泛應(yīng)用于微博等社交網(wǎng)絡(luò)服務(wù)，漏洞一旦被黑客組織利用，可能導(dǎo)致用戶隱私信息泄露。

        一、漏洞情況分析

        OAuth（Open Authorization）是一個關(guān)于授權(quán)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，允許用戶授權(quán)第三方移動應(yīng)用，訪問用戶存儲在其他服務(wù)提供者上的信息，而無需將用戶名和密碼提供給第三方移動應(yīng)用或分享數(shù)據(jù)的所有內(nèi)容。

        該漏洞利用OAuth第三方授權(quán)無需用戶名和密碼的特點，結(jié)合redirect_uri未指定授權(quán)目錄引發(fā)用戶劫持攻擊。攻擊者通過登錄某種社交網(wǎng)絡(luò)服務(wù)，修改鏈接redirect_uri參數(shù)值指向，將偽造后的用戶授權(quán)鏈接發(fā)給目標(biāo)用戶，當(dāng)目標(biāo)用戶點擊或被欺騙訪問上述授權(quán)鏈接進(jìn)行登陸后，攻擊者即可通過referer獲取用戶授權(quán)，快速登錄目標(biāo)用戶賬號，還可登陸該賬號綁定的其他網(wǎng)站信息，查看敏感信息或執(zhí)行授權(quán)操作，還可以利用受害人賬號進(jìn)行非法信息傳播、詐騙等非法行為。

        CNVD對上述漏洞的綜合評級為“中危”。 

        二、漏洞影響范圍

        上述漏洞影響采用第三方登陸授權(quán)方式的服務(wù)。

        三、漏洞修復(fù)建議

        CNVD建議第三方應(yīng)用平臺采取如下措施進(jìn)行漏洞的防范，同時請廣大用戶注意第三方授權(quán)鏈接，謹(jǐn)慎輸入賬號密碼：

        1. 在注冊第三方授權(quán)時，redirect_uri需要限制到指定網(wǎng)站的指定目錄，比如redirect_uri注冊為passport.aaa.com/oauth/，而非aaa.com或者passport.aaa.com。

        2. 禁止非源跳轉(zhuǎn)。通過增加網(wǎng)站跳轉(zhuǎn)的判斷條件，禁止對非本網(wǎng)站的鏈接進(jìn)行跳轉(zhuǎn)。

        參考鏈接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622