利用OAuth劫持用戶身份.ppt-SeebugPaper課件

1、利用OAuth劫持用戶身份新浪微博 移動&安全團隊 藍色di雪球 Who I Am新浪微博 移動&安全團隊安全工程師目前負責(zé)微博的應(yīng)用安全&安全自動化平臺架構(gòu)&通行證致力于研究應(yīng)用安全，安全自動化和安全運維OAuth的發(fā)展OAuth是什么OAuth的應(yīng)用OAuth的發(fā)展OAuth調(diào)用方式OAuth的四種調(diào)用方式Authorization Code10ImplicitAuthorization Code的請求參數(shù)Implicit的請求參數(shù)OAuth風(fēng)險分析OAuth風(fēng)險分析信息泄露信息泄露CSRFCSRFCSRF權(quán)限認證（scope）URL回調(diào)污染redirect_uri 回調(diào)地址：開放平臺填寫

2、不嚴格授權(quán)服務(wù)器不驗證或者驗證不嚴格漏洞風(fēng)險：可能導(dǎo)致 code 或者 access_token 泄露或者釣魚不區(qū)分調(diào)用方式如何優(yōu)雅的利用OAuth漏洞如何優(yōu)雅的利用OAuth漏洞劫持用戶應(yīng)用方身份劫持用戶應(yīng)用方身份劫持用戶應(yīng)用方身份劫持用戶應(yīng)用方身份攻擊過程劫持用戶授權(quán)方身份劫持用戶授權(quán)方身份劫持用戶授權(quán)方身份篡改參數(shù)更改調(diào)用方式Authorization Coderesponse_type = codeCode + Appsecret = access_tokenImplicitresponse_type = tokenRequest token = access_token通過篡改參數(shù)繞

3、過了Appsecret的限制，直接獲得了access_token圖劫持授權(quán)方身份Access_token可能的利用方式OAuth漏洞修復(fù)OAuth漏洞修復(fù)問題：1.開放平臺歷史遺留2.短時間內(nèi)無法進行完全修復(fù)BUG：1.開放平臺中 redirect_uri 不規(guī)范2.redirect_uri 校驗存在邏輯錯誤3.不區(qū)分調(diào)用方式OAuth漏洞修復(fù)URL回調(diào)污染修復(fù)日志分析，明確風(fēng)險范圍校驗全路徑，暫不驗證參數(shù)至此，雖然漏洞沒有完全修復(fù)，但是已經(jīng)大大增加了漏洞的利用門檻，縮小了漏洞的范圍修復(fù)中的坑還有很多種方式來進行繞過redirect_uri=%40redirect_uri=%3F3.redir

4、ect_uri=%54.redirect_uri=:%55.redirect_uri=.6.redirect_uri=:Implicit的請求參數(shù)OAuth漏洞修復(fù)OAuth漏洞修復(fù)最終修復(fù)方案 將大型應(yīng)用添加進白名單，嚴格驗證開放平臺回調(diào)地址 非白名單進行全路徑驗證 運營和產(chǎn)品推動，規(guī)范白名單內(nèi)應(yīng)用的回調(diào)地址，改完移出白名單，直到白名單清空OAuth可能存在的風(fēng)險OAuth可能存在的風(fēng)險授權(quán)濫用利用方式：誘惑用戶授權(quán)惡意應(yīng)用使用access_token進行詐騙、廣告解決方案：封禁上行權(quán)限直接封禁應(yīng)用授權(quán)token被脫褲微博某大型第三方應(yīng)用被脫褲，影響廣泛問題的根源2022/7/24OAuth

5、存儲憑證上沒有做任何加密措施用戶名密碼存儲：md5(密碼+salt)Access_token存儲：明文感謝 長得吸引仇恨 羅詩堯v 余弦Q & A招（gui）聘（qiu）安全測試工程師（應(yīng)用安全方向）職位描述：負責(zé)核心業(yè)務(wù)的應(yīng)用安全測試與風(fēng)險評估，推動落地安全解決方案自動化安全檢測工具與日志分析系統(tǒng)的研發(fā)與功能&性能優(yōu)化負責(zé)核心項目的白盒代碼審計（PHP）公司內(nèi)部安全編碼與培訓(xùn)（應(yīng)用安全/移動安全）跟蹤安全社區(qū)的安全動態(tài)，并進行漏洞分析、挖掘和前沿安全攻防技術(shù)的研究崗位要求：熟悉常見的安全漏洞原理，如（SQLi，XSS，CSRF），能夠獨立挖掘web或移動客戶端安全漏洞熟練使用php/python/perl/shell腳本中的至少一