玩家需小心!互联网最大规模帐号劫持漏洞将引爆

  • 日期:11-25
  • 点击:(1482)


来自中国着名网站站长之家和高级互联网应用安全提供商的记者了解到,于闯安全研究小组近日获悉,一项严重侵犯用户隐私的行为刚刚被发现,包括旅游、招聘、娱乐、社交约会、主要电子商务等网站将受到影响。这种漏洞在中国使用第三方登录机制的网站中很常见。

因为这种攻击不受浏览器的安全限制,例如同源策略,并且不容易被目标发现,所以危害是严重的。 一旦使用,用户的帐户将被永久劫持,帐户信息将被任意浏览和更改。

由于以前存在相关漏洞,因此怀疑攻击者已经开始利用该漏洞进行实际攻击。请广大网民确认他们的账户信息是否被恶意劫持,并及时采取措施保护他们的账户。

确认此漏洞是由于开发者没有根据OAuth2授权机制的开发文档正确使用OAuth2,导致攻击者能够实施跨站点请求伪造(CSRF),通过第三方网站劫持目标网站的用户账户

劫持过程:

虚拟测试:

攻击者想要劫持并通过他的微博登录受害者的帐户

如上图所示,用户点击授权后,正常的授权过程不再可控。其余的工作由第三方应用程序和授权服务器(资源提供者)之间的交互完成。攻击者可以阻止正常的授权过程,在中间拦截密钥,诱骗用户访问,成功后将受害者的账户绑定到攻击者的微博账户。 之后,攻击者可以使用微博账户自由登录受害者的主站账户和浏览器账户,任意查看和修改用户的隐私数据。

受OAuth2 CSRF漏洞影响的一些网站列表(测试后):

安全供应商:360网站360浏览器.

it媒体:CSDN中关村在线.

团购:糯米团购.

信息:果壳.

购物分享:蘑菇街.

电子商务:聚美精品.

视频:优酷乐视cntv.

招聘:street.

相亲:莉莉网络.

blog: little.

SNS:开心网…

团队对OAuth2 CSRF漏洞防御的建议如下:

1)对于开发者:

1,在授权过程中传递状态随机哈希值,并在服务器端做出判断

2,在绑定过程中,应该强制用户重新输入用户名和密码来确认绑定,而不是直接读取当前用户会话进行绑定

3,将带有授权代码参数的请求限制为一次使用(避免重放攻击)

4.建议使用授权代码而不是隐式流进行授权。 这样,访问令牌将作为响应体从授权服务器返回,而不会暴露给客户端。

2)对于普通用户:

定期查看重要网站的第三方账户绑定页面,查看是否有其他不熟悉的账户绑定到自己的账户,如果有,立即解除绑定或授权。