OAuth’daki tuhaflıklardan yararlanarak tek tıklamayla hesap ele geçirme işlemleri mümkün hale getirildi
Bir güvenlik araştırmacısı, OAuth işlem akışını kötüye kullanarak tek tıklamayla hesap ele geçirmenin mümkün olduğunu buldu.
Açık Kimlik Doğrulama olarak da bilinen OAuth, üçüncü taraf hizmetlerde kimlikleri yönetmek ve çevrimiçi alanların güvenliğini sağlamak için bir çerçevedir. Bir hesap kullanıcı adını kullanmak yerine ve şifre örneğin hizmet sağlayıcılar, geçici ve güvenli erişim belirteçleri sağlamak için OAuth’u kullanabilir.
Ancak bazı senaryolarda saldırganlar, bu belirteçleri çalmak ve tek tıklamayla hesap ele geçirme gerçekleştirmek için OAuth uygulamalarını kötüye kullanabilir.
Kirli Dans
6 Temmuz’da, Detectify Güvenlik Danışmanı Frans Rosén, birkaç olası saldırı vektörü ve bunun nasıl yapılacağı konusunda bize yol gösterdi. kuruluşlar uzlaşma riskini azaltabilir.
Rosen bu senaryoları açıklar “kirli dans” olarak. Saldırganlar, yetkilendirme kodları veya belirteçler gibi kullanıcı bilgilerini çalmak için yanıt türü değiştirmeyi, geçersiz durumları ve yeniden URI programlama “tuhaflıklarını” birleştirerek kimlik doğrulama süreçleri ve bir tarayıcı ile hizmet sağlayıcı arasındaki iletişimi nasıl yönettiklerini – OAuth ‘danslarını’ kötüye kullanabilirler. .
ÖNERİLEN Node.js, RCE, HTTP istek kaçakçılığına yol açabilecek birden çok hatayı düzeltir
Google ve Mozilla dahil olmak üzere tarayıcı geliştiricileri, son yıllarda herhangi bir potansiyel yolu yok etmek için çok çalıştılar. çapraz kaynaklı yönlendirici sızıntıları ve siteler arası komut dosyası oluşturma (XSS) saldırıları.
Ancak, MITRE’nin en son 2022 Ortak Zayıflık Sıralaması (CWE) En Tehlikeli 25 Yazılım Zayıflığı listesinde vurgulandığı gibi, Haziran sonunda kamuoyunabu saldırılar hala yaygın ve dünya çapındaki kullanıcılar için bir tehdit.
Oturum açma akışını kötüye kullanma
Bu saldırıların riskini azaltmak için tarayıcılar tarafından uygulanan çözümler şunları içerir: İçerik Güvenliği Politikası (CSP) ve Güvenilir Türler, yazılımın aşağıdakilere yol açabilecek veri değerlerini reddetmesine izin verir. DOM XSS ve kimlik bilgilerinin çalınması.
Ancak araştırmacı, Slack, Facebook ve Twitter gibi şirketler tarafından kullanılan OAuth’un oturum açma akışının aynı etki için potansiyel olarak “kırılabileceğini” söylüyor.
İLİŞKİLİ CWE Top 25: Bunlar 2022’nin en tehlikeli yazılım zayıflıkları
Bu tür saldırıların gerçekleştirilmesinin kolay olmadığı ve Rosén’in dediği gibi, kaynak kodunun incelenmesini ve OAuth’un danslarının nasıl çalıştığına dair bir bilgiyi içeren bir “eziyet” içerdiği akılda tutulmalıdır.
Zinciri kırmak
Bir saldırganın belirteçleri çalmak için önce belirteçleri veren sistem ile bunları tüketen bir hizmet sağlayıcı arasındaki zinciri kırması gerekir.
Bu, potansiyel bir kurbana oturum açma sayfası olarak gönderilen, ancak saldırganın geçerli durumunu kullanan özel hazırlanmış bir bağlantı aracılığıyla kullanımdaki durum değerini değiştirerek elde edilebilir.
Bir kurban oturum açtıktan ve bir web sitesine geri yönlendirildikten sonra, kullanıcı için geçerli bir durum olmadığından ‘dans’ kesintiye uğrar. Daha sonra kullanıcıya bir hata mesajı gösterilecek ve eğer saldırgan hata sayfasından veri ve URL sızdırabilirse, araştırmacı tehdit aktörünün “artık kendi durumuyla oturum açabileceğini ve kurbandan sızan kodun” olduğunu söylüyor. .
En son bilgisayar korsanlığı haberlerinin devamını okuyun
Bu yolları değiştirmek zor olsa da, yanıt türü, yanıt modu değiştirme ve yeniden yönlendirme-uri yolu kötüye kullanımının bağlantıları kesmek ve beklenmeyen davranışlara neden olmak için kullanılması da mümkün olabilir.
Rosén, “Kod kullanarak uygun bir OAuth dansında, erişim belirtecini hizmet sağlayıcıdan almak için son adımda, doğrulama için hizmet sağlayıcıya da sağlanmalıdır,” diye açıklıyor Rosén.
“Dansta kullanılan, web sitesinin sağlayıcıya gönderdiği değerle uyuşmuyorsa, erişim belirteci verilmeyecektir.”
Tek tıklamayla kaçırma
Araştırmacı, farklı saldırı yöntemlerini test etti ve tek tıklamayla ele geçirmeyi başardı. Apple OAuth oturum açmayı içeren bir istismar 12 Mayıs’ta bildirildi.
Saldırganların OAuth’tan ödün vermek ve sızdırılmış URL’leri ele geçirmek için yararlanabileceği başka tuhaflıklar da vardır. Bunlar, kimlik doğrulama sırasında URL verilerini alan üçüncü taraf etki alanında bir XSS saldırısı gerçekleştirmeyi ve URL’leri getirmeye yönelik API’leri kötüye kullanmayı içerir. Örneğin, yeterli kaynak denetimi olmayan alanlar, istismar riski altında olabilir.
Rosén, “Her OAuth sağlayıcısının çok sayıda farklı yanıt türüne ve moduna izin vermesi nedeniyle, bir web sitesinin tüm farklı durumları kapsaması oldukça zor hale geliyor” diyor.
Saldırı riskini azaltmak için araştırmacı, OAuth 2.0 Güvenlik En İyi Güncel Uygulama kılavuzuOAuth’un yetkilendirme yanıtı için oluşturulan sayfaların üçüncü taraf kaynakları veya bağlantılar içermediğinden emin olun ve kullanıcılar yalnızca sınırlı OAuth yanıt türleri ve modlarına izin vermeyi düşünmelidir.
Rosén, “Bugün herhangi bir güvenlik açığı bulunan üçüncü taraf komut dosyası kullanmayabilirsiniz, ancak kuruluşunuzdaki herhangi biri Google Etiket Yöneticisi veya benzeri aracılığıyla yeni bir şey sunarsa veya üçüncü taraf komut dosyaları değişirse, gelecekteki olası jeton sızıntısını önleyebilirsiniz.” .
DERİN DALIŞLAR Merkezi Olmayan Tanımlayıcılar: Yeni nesil web kimliği teknolojisi hakkında bilmeniz gereken her şey