UCloud:OAuth2.0 使用不当导致App账户可被远程劫持漏洞安全预警
尊敬的UCloud用户:
支持单点登录的App如果没有正确部署OAuth2.0认证协议,可导致攻击者远程登陆任何用户的App账户。请您及时检查自身使用的OAuth2.0是否符合标准。
漏洞详情
2016欧洲黑帽大会上,香港中文大学的三位安全研究员发现了一个极其危险的安全隐患,超过10亿的移动APP(包括安卓版本和iOS版本)都可以在用户完全不知情的情况下被远程劫持,无需用户授权即可登录 Facebook 、谷歌、新浪微博账户等多种应用。研究员指出大部分流行的移动应用程序都支持单点登录(SSO)服务,即用户一次登录就可以访问所有相互信任的应用,但是应用的服务器只会检查这些ID是否和从ID供应商那里检索到的匹配,却不会验证OAuth 信息(用户认证信息)。远程攻击者可以使用自己账户登录成功后,将用户名修改为攻击目标用户名,从而控制攻击目标在该应用上的数据。
修复方案
增加OAuth信息与ID是否匹配的验证
参考链接
https://www.blackhat.com/docs/eu-16/materials/eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf
*本平台所发布文章信息,版权归UCloud所有,如需转载请注明出处!
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
Ucloud
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习主席的阿斯塔纳时间 7904242
- 2 中国成功研发蚊子大小仿生机器人 7809527
- 3 这届年轻人不再买“年抛电车”了 7714684
- 4 金融部门一把手齐聚陆家嘴 说了啥 7618326
- 5 大爷捡到LABUBU随手挂吸粪车被买走 7522469
- 6 男子200万建洋房被爸妈塞满农作物 7424784
- 7 网警查处冒充“扁担女孩”牟利者 7329321
- 8 以军称伊朗向以色列发射超20枚导弹 7235302
- 9 多地查摆年轻干部混日子等问题 7143446
- 10 《变形计》梁小友现状 辍学生子成网红 7047811
