阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2310阅读
  • 2回复

[安全漏洞公告专区]【漏洞预警】OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取数据

级别: 论坛版主
发帖
241
云币
478

外媒报道,这周五在 201 6欧洲黑帽会议上,来香港中文大学的三位研究员展示了一种针对 Android 和 iOS 应用程序无需用户授权即可登录 Facebook 、谷歌和新浪微博账户的方法,而此类数百种应用程序已被下载超过二十四亿次、超过十亿账户受到威胁。

研究员称大多数手机应用支持单点登录( SSO )功能 。 SSO 是目前比较流行的企业业务整合的解决方案之一,用户只需要登录一次就可以访问所有相互信任的应用系统。然而,该功能使用了不安全的 OAuth2.0 协议,Oauth 是允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表)而无需将用户名和密码提供给第三方应用的协议。

理论上,当用户通过 OAuth 协议登录第三方应用程序时,应用程序会与ID提供商(例如 Facebook )检查其是否具有正确的身份验证详细信息。然而,研究人员发现,应用程序的开发人员没有正确检查ID提供商(例如 Facebook )发送的信息有效性。忽略了验证用户和ID提供商是否有关联,只验证ID提供商(例如 Facebook )信息的真伪。攻击者可利用OAuth协议漏洞通过修改服务设置伪装成来自 Facebook 的数据,从而发动中间人攻击登录账号。通过这种技术,攻击者可以运用应用程序的漏洞访问用户数据,泄露用户敏感信息,严重威胁用户的数据安全。

漏洞预警提示:为了确保您的业务安全,请您关注并自查是否按照标准规范使用OAuth 2.0协议!

文章转自:http://hackernews.cc/archives/2000

参考信息链接:https://zhuanlan.zhihu.com/p/23473798

                        http://securityaffairs.co/wordpress/53081/hacking/oauth-2-0-attack.html

[ 此帖被正禾在2016-11-10 10:36重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-11-10
Re:【漏洞预警】OAuth 2.0 协议漏洞允许黑客远程登录 10 亿应用账户、窃取 ..
感谢分享!
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2016-11-10
回 1楼(西秦) 的帖子
不谢,希望对大家有帮助!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)