针对近期「博全球眼球OAuth 漏洞」的分析与防范建议

作者：Fooying，

据Cnet报道，新加坡南洋理工大学一位名叫Wang Jing的博士生，发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

突然间这个漏洞似乎就火了，这几天一直在研究这个漏洞以及各种猥琐的利用。

来看看各种猥琐的利用：

再回过头来说说这个漏洞：

看网上一大堆媒体报道都说继OpenSSL之后又一开源协议爆出漏洞，不得不进行下纠正，跟之前OpenSSL问题一样，之前的问题不是出在SSL协议,而这次的问题同样不是出现在OAuth 协议本身。

首先需要明确的一点是，漏洞不是出现在OAuth 这个协议本身，这个协议本身是没有问题的，之所以存在问题是因为各个厂商没有严格参照官方文档，只是实现了简版。问题的原因在于OAuth的提供方提供OAuth授权过程中没有对回调的URL进行校验，从而导致可以被赋值为非原定的回调URL，甚至在对回调URL进行了校验的情况可以被绕过。利用这种URL跳转或XSS漏洞，可以获取到相关授权token，危害到目标用户的账号权限。具体欢迎阅读paper。

微博安全团队4 月中旬已经率先发现该问题，并联合业务部门进行威胁的评估和落地修复方案的敲定，截止今天中午前，回调URL校验和校验绕过漏洞在开放平台已经修复上线。

来看看来自知道创宇安全研究团队，本人与Erevus同学执笔的paper把，针对近期“博全球眼球OAuth漏洞”的分析与防范建议。感谢来自微博安全团队同学的帮助。

传送门：
http://http://blog.knownsec.com/2014/05/oauth_vulnerability_analysis/

----------------------------------

Fooying，关注安全与开发

欢迎关注微信公众号:oxsafe

也可以加入0xsafe交流群 141278838进行交流

微博或者知乎搜索：fooying都可以找到我，微信搜索：oxsafe

感谢关注，如果觉得文章不错就分享下