高电压爱好者

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 4916|回复: 0

注意!你的各种“账号”最近可能被轻松黑掉

[复制链接]
发表于 2016-4-11 23:19:56 | 显示全部楼层 |阅读模式

IT之家讯 4月1日消息,今天,乌云漏洞报告平台发文提醒,由于受到OAuth认证协议漏洞影响,大多数网友的网络账户很可能被黑客轻松黑掉。乌云漏洞平台介绍称,因为OAuth认证协议导致的安全风险,因企业的错误使用,可导致黑客利用这个漏洞登录该任意用户的账号(OAuth登录的用户)。也就是说,在相关企业没有做出防范之前,你的各种网站、手机APP账号,甚至还包括网络名人的账户,都可能遭到黑客窥探。

下面是来自乌云漏洞报告平台的提醒:

问题来自前两天的中午,新浪发来一封漏洞预警邮件,印象中这好像是第一次企业发出如此紧急的预警,邮件原文如下:

9f7af4608749d8927b5b5da2d40fa8f9.jpg

字数越少影响越大!

看了下是因为OAuth认证协议导致的安全风险,因企业的错误使用,可导致黑客利用这个漏洞登录该任意用户的账号(OAuth登录的用户),所以如此紧急的预警发出后,一些大牌互联网企业果然……没当回事儿!

我的账号是OAuth认证的么?拿出你的手机,随便找几个APP进行登录,会看到其支持微博、微信等账户的直接登录,这个就是支持OAuth认证,可能会受到这个问题影响。因为它无需用户输入账号密码,而且又免去了重复的账号注册,所以被互联网应用广泛采用。

37415dce6cff026f7e732d045caf60ef.jpg

比如知乎

3dc1f7c08b637f4a08d5b8594b47b1f2.jpg

点评

a5bf6bbcfa97316db9bec03ace354766.jpg

授权过程

漏洞原理很简单,你进行OAuth认证时,提供认证服务的企业(如新浪微博)会反馈一些认证信息,比如用户ID、头像、名称、有效时间以及其他认证token的数据。但使用OAuth的APP或网站并没有验证用户ID与accesstoken的合法关系,完全信任返回数据。这时黑客拦截返回请求,将用户ID改为其他任意用户即可成功登录,这个ID就可以去比如新浪微博找些名人、大V的进行精准性的劫持登录。

……

好吧,再简单点。老王拿着他的房产证、身份证找开锁公司证明,开锁公司验了老王的身份证与门牌号属实,就开证明给开锁师傅干活。但中间老王给工单中的房间号改成了你家的,开锁师傅没注意这么明显的修改痕迹,二话不说给你家门翘开了,老王成功进屋,你说这个锅谁来背一下?

目前乌云君已经陆续接到了相关的漏洞报告:

知乎客户端登录任意用户账号(劫持某互联网名人账户)

我是如何未授权登录他人搜狐账户的

我是如何未授权登录他人乐视app账号的

...

该问题影响面会非常广泛,所以在这里也帮新浪以及其他OAuth服务提供商一起给行业再次进行预警,认证过程中一定要检验uid与accesstoken的一致性,否则用户体系将发生难以预料的混乱,对用户账号内敏感信息造成影响。

PS:大家可以进行主动发现一些存在问题的网站或APP,但请及时通知企业修复漏洞。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|平龙认高电压分站 - 高电压爱好者 ( 豫ICP备14029057号-3 )
豫公网安备 41010502002157号

GMT+8, 2024-11-1 06:55 , Processed in 0.079235 second(s), 26 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表