關于OAuth 2.0存在第三方帳號快捷登錄授權劫持漏洞的安全公告
2018年1月21日,國家信息安全漏洞共享平臺(CNVD)接收了OAuth 2.0存在第三方帳號快捷登錄授權劫持漏洞(CNVD-C-2018-06621)。綜合利用上述漏洞,攻擊者可通過登錄受害者賬號,獲取存儲在第三方移動應用上的敏感信息。由于OAuth廣泛應用于微博等社交網絡服務,漏洞一旦被黑客組織利用,可能導致用戶隱私信息泄露。
一、漏洞情況分析
OAuth(Open Authorization)是一個關于授權的開放網絡標準,允許用戶授權第三方移動應用,訪問用戶存儲在其他服務提供者上的信息,而無需將用戶名和密碼提供給第三方移動應用或分享數據的所有內容。
該漏洞利用OAuth第三方授權無需用戶名和密碼的特點,結合redirect_uri未指定授權目錄引發用戶劫持攻擊。攻擊者通過登錄某種社交網絡服務,修改鏈接redirect_uri參數值指向,將偽造后的用戶授權鏈接發給目標用戶,當目標用戶點擊或被欺騙訪問上述授權鏈接進行登陸后,攻擊者即可通過referer獲取用戶授權,快速登錄目標用戶賬號,還可登陸該賬號綁定的其他網站信息,查看敏感信息或執行授權操作,還可以利用受害人賬號進行非法信息傳播、詐騙等非法行為。
CNVD對上述漏洞的綜合評級為“中危”。
二、漏洞影響范圍
上述漏洞影響采用第三方登陸授權方式的服務。
三、漏洞修復建議
CNVD建議第三方應用平臺采取如下措施進行漏洞的防范,同時請廣大用戶注意第三方授權鏈接,謹慎輸入賬號密碼:
1. 在注冊第三方授權時,redirect_uri需要限制到指定網站的指定目錄,比如redirect_uri注冊為passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。
2. 禁止非源跳轉。通過增加網站跳轉的判斷條件,禁止對非本網站的鏈接進行跳轉。
