2018年1月21日,國家信息安全漏洞共享平臺(CNVD)接收了OAuth 2.0存在第三方帳號快捷登錄授權(quán)劫持漏洞(CNVD-C-2018-06621)。綜合利用上述漏洞,攻擊者可通過登錄受害者賬號,獲取存儲在第三方移動(dòng)應(yīng)用上的敏感信息。由于OAuth廣泛應(yīng)用于微博等社交網(wǎng)絡(luò)服務(wù),漏洞一旦被黑客組織利用,可能導(dǎo)致用戶隱私信息泄露。
一、漏洞情況分析
OAuth(Open Authorization)是一個(gè)關(guān)于授權(quán)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn),允許用戶授權(quán)第三方移動(dòng)應(yīng)用,訪問用戶存儲在其他服務(wù)提供者上的信息,而無需將用戶名和密碼提供給第三方移動(dòng)應(yīng)用或分享數(shù)據(jù)的所有內(nèi)容。
該漏洞利用OAuth第三方授權(quán)無需用戶名和密碼的特點(diǎn),結(jié)合redirect_uri未指定授權(quán)目錄引發(fā)用戶劫持攻擊。攻擊者通過登錄某種社交網(wǎng)絡(luò)服務(wù),修改鏈接redirect_uri參數(shù)值指向,將偽造后的用戶授權(quán)鏈接發(fā)給目標(biāo)用戶,當(dāng)目標(biāo)用戶點(diǎn)擊或被欺騙訪問上述授權(quán)鏈接進(jìn)行登陸后,攻擊者即可通過referer獲取用戶授權(quán),快速登錄目標(biāo)用戶賬號,還可登陸該賬號綁定的其他網(wǎng)站信息,查看敏感信息或執(zhí)行授權(quán)操作,還可以利用受害人賬號進(jìn)行非法信息傳播、詐騙等非法行為。
CNVD對上述漏洞的綜合評級為“中危”。
二、漏洞影響范圍
上述漏洞影響采用第三方登陸授權(quán)方式的服務(wù)。
三、漏洞修復(fù)建議
CNVD建議第三方應(yīng)用平臺采取如下措施進(jìn)行漏洞的防范,同時(shí)請廣大用戶注意第三方授權(quán)鏈接,謹(jǐn)慎輸入賬號密碼:
1. 在注冊第三方授權(quán)時(shí),redirect_uri需要限制到指定網(wǎng)站的指定目錄,比如redirect_uri注冊為passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。
2. 禁止非源跳轉(zhuǎn)。通過增加網(wǎng)站跳轉(zhuǎn)的判斷條件,禁止對非本網(wǎng)站的鏈接進(jìn)行跳轉(zhuǎn)。
參考鏈接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622