您的位置:首页>>互联网

互联网最大规模帐号劫持漏洞即将引爆

发布时间:2012-11-09 18:29:18  来源:中国站长站    背景:

  笔者与近日从国内资深互联网应用安全提供商知道创宇安全研究团队处得悉,目前有一项严重危害用户隐私的漏洞刚刚被发现,包括旅游,招聘,娱乐,SNS交友,各大电商等各类网站均会被影响。经知道创宇安全研究团队测试,该安全漏洞在国内使用第三方登录机制的网站中普遍存在,甚至知名的安全厂商360的网站平台以及360浏览器也存在这个问题。由于此类攻击不受同源策略等浏览器的安全限制,且不易被目标发现,因此危害严重。一旦被利用,用户的帐号会被永久劫持,账户信息会被任意浏览和改动。由于之前出现过关联类漏洞,疑似已经有攻击者开始利用这个漏洞进行实际攻击,请广大网民确认自身账号信息是否已遭恶意劫持,及时采取措施保护自身账号。

  经知道创宇安全研究团队确认,此漏洞是由于开发人员没有正确按照OAuth2授权机制的开发文档使用OAuth2,导致攻击者能够实施跨站请求伪造(CSRF)通过第三方网站来劫持用户在目标网站的账户。

  劫持流程:

  虚拟测试:

  攻击者想通过自己的微博劫持并登录受害人的账户

 

  如上图所示,正常的授权流程,用户点击授权后便不再可控,剩下的工作由第三方应用和授权服务器(资源提供方)进行交互来完成。而攻击者可以阻止授权流程的正常进行,将中间的关键URL截取下来,诱骗用户访问,成功后可以将受害人的账户绑定到攻击者的微博账户上。此后,攻击者可以使用微博的账户自由登入受害人的主站账户及浏览器账户,任意查看和修改用户的隐私数据。

 

  受到OAuth2 CSRF漏洞影响的部分网站列表(测试后):

  安全厂商:360网站 360浏览器 …

  it媒体:CSDN 中关村在线 …

  团购:糯米团购 …

  资讯:果壳 …

  购物分享:蘑菇街 …

  电商:聚美优品 …

  视频:优酷 乐视网 CNTV …

  招聘:大街 …

  婚介:百合网 …

  轻博客:点点 …

  SNS :开心网 …

  知道创宇安全研究团队对于OAuth2 CSRF漏洞防御,建议如下:

  1)对于开发人员:

  1,授权过程中传递state随机哈希值,并在服务端进行判断。

  2,在绑定过程中,应强制用户重新输入用户名密码确认绑定,不要直接读取当前用户session进行绑定。

  3,限制带有Authorization code参数的请求仅能使用一次(避免重放攻击)

  4,推荐使用Authorization Code方式进行授权,而不要使用Implicit Flow方式。这样access token会从授权服务器以响应体的形式返回而不会暴露在客户端。

  2)对于普通用户:

  定期查看重要网站的第三方帐号绑定页面,检查是否有陌生的其他帐号绑定到自身账户,如果发现应立即取消绑定或授权。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:中国站长站

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
搭建中外青年友谊桥梁!Soul青年热情帮助外国友人
随着中国经济发展和社会开放程度越来越高,来国内工作和交流的外国友人也越来越多。在感叹中国发展...
日期:10-15
女神张俪淘宝直播为天猫精灵打call,明星的理想生活你也能轻松get
“天猫精灵,最近有什么歌好听? ”“养什么宠物,养天猫精灵就行了。” 10月14日...
日期:10-15
天猫精灵进军时尚圈了!QUEEN智能美妆镜惊艳上海时装周
“天猫精灵,我要化妆。”“天猫精灵,今天紫外线强度如何?”“天猫精灵...
日期:10-15
收到“果农”短信称水果滞销,腾讯手机管家提醒注意网购水果骗局
“您好,我是大山里的果农,非常感谢您之前参加我们的电商扶贫项目,今年山里的果子又熟了,销售困...
日期:10-14
中国演出行业协会:不存在网络主播“持证上岗”情况
10月14日下午消息,近期网络上出现了多条关于“网络主播持证上岗”的信息,针对此事,中国演...
日期:10-14
油管AI网红Siraj承认抄袭再上热搜:网课骗钱,人设崩塌
  Siraj在AI圈有多火呢?
  仅仅在Youtube上,他就有仅70万订阅者,包括DeepMind创始人Demis Ha...
日期:10-14
美研究中心10年前预测2020年生活方式:基本都实现了
北京时间10月14日上午消息,美国皮尤研究中心曾在2008年预测2020年的生活方式,主要包括:
日期:10-14
“如程”酒店数量突破200家 ,上线4个月帮会员省下1个亿
10月12日,会员制特色度假酒店预订平台“如程”再次上线新酒店,令平台合作酒店总数突破2...
日期:10-14
电费是5G建站的“拦路虎”
(原标题:5G建站“拦路虎”:电费是运营商年租金10多倍)
日期:10-14
积极响应“健康中国行” 网易春风发起“百万公益捐赠”活动
日前,国务院印发了有关“健康中国行动”的三分文件,明确指出了健康中国行动的战略方向...
日期:10-12
人民日报数字传播联合新媒体大号卡娃微卡掀起爱国热潮
“我和我的祖国,一刻也不能分割......”黄晓明、李易峰、李现的歌声,杨幂的大拇指速写...
日期:10-12
2019极光开发者大会|登封造“极”,等你来战!
听说极光要在开发者大会上“搞事情”,不仅能免费参加比赛还有机会赢取10万元现金大奖?
日期:10-12
2019香港秋季国际电子展,linxee领视与您合作共赢,共建美好数字生活
2019年10月11日-14日香港秋季环球电子展(Global Sources Consumer Electronics)于香港亚洲国际博览...
日期:10-12
5G预约用户超千万 vivo已成领跑5G终端销售主力军
尽管运营商的5G套餐尚未正式发布,但随着三大运营商在9月底全面开启5G套餐预约,截止到10月11日,全...
日期:10-12
充电宝可以带上飞机吗?抗摔耐压的SuperMini上机更安全
  自2018年1月份开始,民航就逐渐放宽了对乘客电子设备的限制。一开始只能单纯携带,现在只要开启飞行...
日期:10-12
全球首部AI交响变奏曲在深奏响 中国平安献礼祖国70周年
10月11日,由中国平安人工智能研究院创作的全球首部AI交响变奏曲《我和我的祖国》,在深圳音乐厅由深...
日期:10-12
闪耀深圳物博会:构筑城市货运生态圈 快狗打车展示行业“教父”风采
2019年10月10日——10月12日,被誉为“全球物流领域标杆性品牌盛会”的2019中国...
日期:10-12
第十三届物流透明管理峰会召开,“数字化+”加速物流变革
工业互联网的风潮渐趋猛烈,数字化转型成为各行各业公认的变革方向。在即将到来的数字化时代,颇具...
日期:10-12
首次亮相物博会,华为云助力智慧新物流落地
2019年10月10日-12日,华为云亮相2019中国(深圳)国际物流与供应链博览会(以下简称“物博会&rdq...
日期:10-11
主动安全·智慧驱动——2019合肥网络安全大会成功召开
      今日,以“主动安全·智慧驱动”...
日期:10-11
  专栏介绍
刘文杰 的专栏
刘文杰发表的文章
积分:
自我介绍 :