据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

突然间这个漏洞似乎就火了,这几天一直在研究这个漏洞以及各种猥琐的利用。

来看看各种猥琐的利用:

再回过头来说说这个漏洞:

看网上一大堆媒体报道都说继OpenSSL之后又一开源协议爆出漏洞,不得不进行下纠正,跟之前OpenSSL问题一样,之前的问题不是出在SSL协议,而这次的问题同样不是出现在OAuth 协议本身。

首先需要明确的一点是,漏洞不是出现在OAuth 这个协议本身,这个协议本身是没有问题的,之所以存在问题是因为各个厂商没有严格参照官方文档,只是实现了简版。

问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验,从而导致可以被赋值为非原定的回调URL,甚至在对回调URL进行了校验的情况可以被绕过。利用这种URL跳转或XSS漏洞,可以获取到相关授权token,危害到目标用户的账号权限。具体欢迎阅读paper。

微博安全团队4 月中旬已经率先发现该问题,并联合业务部门进行威胁的评估和落地修复方案的敲定,截止今天中午前,回调URL校验和校验绕过漏洞在开放平台已经修复上线。

来看看来自知道创宇安全研究团队,本人与Erevus同学执笔的paper把,针对近期“博全球眼球OAuth漏洞”的分析与防范建议 。感谢来自微博安全团队同学的帮助。

传送门:http://blog.knownsec.com/2014/05/oauth_vulnerability_analysis/