小心!互联网最大规模帐号劫持漏洞即将引爆
4289 点击·0 回帖
灯火互联
楼主
 |  | |
 | 站长之家记者与近日从国内资深互联网应用安全提供商知道创宇安全研究团队处得悉,目前有一项严重危害用户隐私的漏洞刚刚被发现,包括旅游、招聘、娱乐、SNS交友、各大电商等各类网站均会被影响,国内使用第三方登录机制的网站中普遍存在此漏洞。 由于此类攻击不受同源策略等浏览器的安全限制,且不易被目标发现,因此危害严重。一旦被利用,用户的帐号会被永久劫持,账户信息会被任意浏览和改动。 由于之前出现过关联类漏洞,疑似已经有攻击者开始利用这个漏洞进行实际攻击,请广大网民确认自身账号信息是否已遭恶意劫持,及时采取措施保护自身账号。 经确认,此漏洞是由于开发人员没有正确按照OAuth2授权机制的开发文档使用OAuth2,导致攻击者能够实施跨站请求伪造(CSRF)通过第三方网站来劫持用户在目标网站的账户。 劫持流程: 图片:1aa68f0970b84a7187a5e72fc65571ef.jpg  图片:efbd620863f246d083493cadd6f760a6.jpg  图片:5543b62bb1a54821aaf3c4576e121033.jpg  图片:754c559246014556b094c2b17648d264.jpg  安全厂商:360网站 360浏览器 … IT媒体:CSDN 中关村在线 … 团购:糯米团购 … 资讯:果壳 … 购物分享:蘑菇街 … 电商:聚美优品 … 视频:优酷 乐视网 CNTV … 招聘:大街 … 婚介:百合网 … 轻博客:点点 … SNS :开心网 … 队对于OAuth2 CSRF漏洞防御的建议如下: 1)对于开发人员: 1,授权过程中传递state随机哈希值,并在服务端进行判断。 2,在绑定过程中,应强制用户重新输入用户名密码确认绑定,不要直接读取当前用户session进行绑定。 3,限制带有Authorization code参数的请求仅能使用一次(避免重放攻击)。 4,推荐使用Authorization Code方式进行授权,而不要使用Implicit Flow方式。这样access token会从授权服务器以响应体的形式返回而不会暴露在客户端。 2)对于普通用户: 定期查看重要网站的第三方帐号绑定页面,检查是否有陌生的其他帐号绑定到自身账户,如果发现应立即取消绑定或授权。 | |
 |  |
