又曝OAuth和OpenID登錄漏洞：“舊傷”且殺傷力不大

幾周前，OpenSSL網(wǎng)站加密工具曝出的“Heartbleed”漏洞，已經(jīng)將整個互聯(lián)網(wǎng)安全領(lǐng)域震翻了一回，絕大多數(shù)網(wǎng)站也都在第一時間修復(fù)了它。但是一個新的問題又浮出了水面。一名安全研究人員發(fā)現(xiàn)了兩款第三方安全登錄協(xié)議上的漏洞，雖然當事人表示此漏洞的修復(fù)比OpenSSL的“Heartbleed”漏洞更困難，但業(yè)內(nèi)人士認為此漏洞并不會對用戶造成信息危害。

據(jù)Cnet報道，新加坡南洋理工大學(xué)一位名叫Wang Jing的博士生，發(fā)現(xiàn)了OAuth和OpenID開源登錄工具的“隱蔽重定向”漏洞(Covert Redirect)。

利用這個漏洞，攻擊者可以創(chuàng)建一個使用真實站點地址的彈出式登錄窗口，而不是使用一個假的域名，以引誘上網(wǎng)者輸入他們的個人信息。

鑒于OAuth和OpenID被廣泛用于各大公司，如微軟、Facebook、Google、以及LinkedIn，Wang表示他已經(jīng)向這些公司匯報了這一漏洞。

Wang聲稱，微軟已經(jīng)給出了答復(fù)，調(diào)查并證實該問題出在第三方系統(tǒng)，而不是該公司的自有站點。

Facebook也表示，“短期內(nèi)仍無法完成完成這兩個問題的修復(fù)工作，只得迫使每個應(yīng)用程序平臺采用白名單”。

至于Google，預(yù)計該公司會追蹤OpenID的問題；而LinkedIn則聲稱它將很快在博客中說明這一問題。

諷刺的是，微軟、Google、以及其它科技公司，在早幾天才宣布了“資助開源安全系統(tǒng)研究，以避免又一個Heartbleed危機”的消息。（責編：周小璐）

原文鏈接：OAuth與OpenID登錄工具曝出重大漏洞

相關(guān)科普：

OAuth、OAuth與OpenID區(qū)別和聯(lián)系

OpenID簡介

Google OAUTH + OpenID解決方案

Can someone explain the “Covert Redirect” vulnerability in OAuth and OpenID?

2014年5月7日星期三，我們特別請到了TryStack團隊核心成員章津楠與TryStack首席公有云顧問吳

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習有所幫助,可以手機掃描二維碼進行捐贈