2014年5月6日 星期二

OAuth 2.0 及 OpenID 爆發安全漏洞(含影片說明)

OAuth 2.0 及 OpenID 爆發安全漏洞(含影片說明)

OAuth 2.0 及 OpenID 使用在哪裡?

這2個服務讓使用者可以在不透漏帳號密碼的情況之下,授權第三方網路應用使用原本提供的網路服務。(有在玩APP的人應該常看到要求 FB & G+ 帳號的訊息)

主要使用 OpenID 授權的有:
AOL、 BBC、IBM、PayPal、VeriSign、MySpace、Yahoo!

主要使用OAuth 協定的有:
Facebook、Google、Twitter、LinkedIn、Microsoft

新加坡南洋科技大學博士生王靜發現 OAuth 2.0 及 OpenID 的漏洞並將其命名為 Cover Redirect,其影響為:當使用者點選一個網路釣魚的超連結時,會顯示偽造的應用程式授權畫面,要求你為一個新應用程式進行授權,一但點選就可竊取使用者的個人資料,例如:E-Mail、聯絡人等,並傳回給攻擊者。

這應該是繼之前 OpenSSL 的 Heartbleed 另一個影響重大的網路安全漏洞了。


原文出處:Covert Redirect Vulnerability
轉載自《網路攻防戰》