Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Способы захвата аккаунта с помощью токенов OAuth

13/07/22

oath-1

Исследователь безопасности обнаружил, что можно выполнить захват учетной записи одним щелчком мыши, используя процесс открытой аутентификации OAuth.

Ключевая особенность применения OAuth заключается в том, что, если пользователь имеет один защищенный аккаунт, то с помощью технологии OAuth можно пройти аутентификацию на других сервисах, при этом пользователю не требуется вводить свои логин и пароль, пишут в Securitylab.

В некоторых сценариях злоумышленник может использовать OAuth, чтобы украсть токены и выполнить захват учетной записи одним щелчком мыши. 6 июля советник по безопасности в Detectify Франс Розен рассказал о нескольких потенциальных векторах атак и о том, как организации могут снизить риск компрометации.

Розен описал эти сценарии как «грязные танцы». Злоумышленник может злоупотребить процессами аутентификацией OAuth и связью между браузером и поставщиком услуг. Киберпреступник может комбинировать переключение типа ответа, недопустимые состояния и объекты URI-программирования для кражи кода авторизации или токена.

Чтобы украсть токен, киберпреступник должен сначала разорвать цепочку между системой, выпускающей токены, и поставщиком услуг, который их использует. Для этого нужно изменить значение состояния через специально созданную ссылку, отправляемую жертве в виде фишинговой страницы входа.

После входа в систему жертва будет перенаправлена ​​обратно на веб-сайт, при этом «танец» токена прерывается, так как для пользователя нет действительного состояния. Затем жертве будет показано сообщение об ошибке, и злоумышленник сможет передать данные и URL-адрес со страницы с ошибкой. «Теперь киберпреступник может войти в систему со своим собственным состоянием и кодом, полученным от жертвы».

«При правильном использовании OAuth при получении токена от сервиса необходимо также предоставить поставщику услуг redirect_uri для проверки. Если redirect_uri, который использовался в «танце», не соответствует значению, которое веб-сайт отправляет провайдеру, токен доступа не будет выдан», — объяснил Розен.

Также киберпреступник может выполнить XSS-атаку на сторонний домен, который получает данные URL-адреса во время аутентификации, и использовать API-интерфейсы для получения URL-адреса.

Чтобы снизить риск атаки, исследователь рекомендует просмотреть руководство по безопасности OAuth 2.0 . Следует убедиться, что страницы ответа авторизации OAuth не содержат сторонних ресурсов или ссылок. Пользователь должен разрешать только ограниченные типы и режимы ответов OAuth.

Темы:ИсследованиепоисковикиАутентификацияУгрозы
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • MULTIFACTOR: сценарии эффективного использования и интересные случаи
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Использование системы двухфакторной аутентификации в 2023 г. – это не опция, а обязательная составляющая ИТ-инфраструктуры для организации любого масштаба. Рассмотрим самые популярные сценарии применения системы MULTIFACTOR для решения разных задач с применением двухфакторной аутентификации.
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.
  • Проблемы использования биометрии в качестве фактора аутентификации
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Старо, как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако, когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо.
  • Российское решение MULTIFACTOR: повышаем иммунитет среды идентификации и доступа
    Виктор Чащин, операционный директор ООО “МУЛЬТИФАКТОР”
    Система мультифакторной аутентификации (MFA) является одним из ключевых элементов реализации концепции иммунитета среды идентификации и доступа (IAC).

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...