Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Способы захвата аккаунта с помощью токенов OAuth

13/07/22

oath-1

Исследователь безопасности обнаружил, что можно выполнить захват учетной записи одним щелчком мыши, используя процесс открытой аутентификации OAuth.

Ключевая особенность применения OAuth заключается в том, что, если пользователь имеет один защищенный аккаунт, то с помощью технологии OAuth можно пройти аутентификацию на других сервисах, при этом пользователю не требуется вводить свои логин и пароль, пишут в Securitylab.

В некоторых сценариях злоумышленник может использовать OAuth, чтобы украсть токены и выполнить захват учетной записи одним щелчком мыши. 6 июля советник по безопасности в Detectify Франс Розен рассказал о нескольких потенциальных векторах атак и о том, как организации могут снизить риск компрометации.

Розен описал эти сценарии как «грязные танцы». Злоумышленник может злоупотребить процессами аутентификацией OAuth и связью между браузером и поставщиком услуг. Киберпреступник может комбинировать переключение типа ответа, недопустимые состояния и объекты URI-программирования для кражи кода авторизации или токена.

Чтобы украсть токен, киберпреступник должен сначала разорвать цепочку между системой, выпускающей токены, и поставщиком услуг, который их использует. Для этого нужно изменить значение состояния через специально созданную ссылку, отправляемую жертве в виде фишинговой страницы входа.

После входа в систему жертва будет перенаправлена ​​обратно на веб-сайт, при этом «танец» токена прерывается, так как для пользователя нет действительного состояния. Затем жертве будет показано сообщение об ошибке, и злоумышленник сможет передать данные и URL-адрес со страницы с ошибкой. «Теперь киберпреступник может войти в систему со своим собственным состоянием и кодом, полученным от жертвы».

«При правильном использовании OAuth при получении токена от сервиса необходимо также предоставить поставщику услуг redirect_uri для проверки. Если redirect_uri, который использовался в «танце», не соответствует значению, которое веб-сайт отправляет провайдеру, токен доступа не будет выдан», — объяснил Розен.

Также киберпреступник может выполнить XSS-атаку на сторонний домен, который получает данные URL-адреса во время аутентификации, и использовать API-интерфейсы для получения URL-адреса.

Чтобы снизить риск атаки, исследователь рекомендует просмотреть руководство по безопасности OAuth 2.0 . Следует убедиться, что страницы ответа авторизации OAuth не содержат сторонних ресурсов или ссылок. Пользователь должен разрешать только ограниченные типы и режимы ответов OAuth.

Темы:ИсследованиепоисковикиаутентификацияУгрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...