专栏首页安恒信息OAuth与OpenID登录工具曝出重大漏洞

OAuth与OpenID登录工具曝出重大漏洞

几周前,OpenSSL网站加密工具曝出的“Heartbleed”漏洞,已经将整个互联网安全领域震翻了一回。尽管绝大多数网站都在第一时间修复了它,但是一个新的问题又浮出了水面。一名安全研究人员发现了两款登录系统上的重大漏洞,而想要修复它们,却比Heartbleed要困难得多。

据Cnet报道,新加坡南洋理工大学一位名叫Wang Jing的博士生,发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

这可导致攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。

鉴于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及LinkedIn——Wang表示他已经向这些公司已经了汇报。

Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有站点。

Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。

至于Google,预计该公司会追踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。

讽刺的是,微软、Google、以及其它科技公司,在早几天才宣布了“资助开源安全系统研究,以避免又一个Heartbleed危机”的消息。

---------------------------

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-05-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • OpenSSL新漏洞预警公告:SSL/TLS中间人劫持漏洞"FREAK"

    安全专家在OpenSSL中发现一种被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)的攻击,漏洞编号为CVE-2015-...

    安恒信息
  • OpenSSL新年再现8个漏洞 安恒信息提醒及时升级

    2015年1月8日,安恒信息从OpenSSL开源项目官网获知其针对0.98zd、1.0.0p和1.0.1k版本的修复补丁发布了8个安全漏洞的修复方案。其中最严重...

    安恒信息
  • 安恒天池云安全平台“八大能力”助力企事业单位安全上云

    安恒天池云安全运营平台是汇聚了安恒十年的安全攻防能力的云安全运营平台。向下兼容不同云平台,向上兼容不同的安全产品,通过不断汇聚安全能力,赋能云平台,从云监测、云...

    安恒信息
  • JavaScript-原始值和引用值

    (1)原始值指的是 原始类型 的值,也叫 基本类型,例如 Number、Stirng、Boolean、Null、Underfined 。

    WEBING
  • 推荐系统遇上深度学习(十六)--详解推荐系统中的常用评测指标

    最近阅读论文的过程中,发现推荐系统中的评价指标真的是五花八门,今天我们就来系统的总结一下,这些指标有的适用于二分类问题,有的适用于对推荐列表topk的评价。

    石晓文
  • 谈谈Java中的反射机制

    在使用框架进行开发时,我们的开发速度大大提升。我们感叹于它的神奇之处,我们使用它的时候,也要知道其“灵魂”。正所谓,无反射,不框架,框架的灵魂就是反射。 另外,...

    code随笔
  • 值得一看——机器学习中容易犯下的错

    前言 在工程中,有多种方法来构建一个关键值存储,并且每个设计都对使用模式做了不同的假设。在统计建模,有各种算法来建立一个分类,每一个算法的对数据集有不同的假设。...

    计算机视觉研究院
  • 深入浅出后端开发(SQL指令笔记)

    筑梦师winston
  • .NET深入解析LINQ框架(二:LINQ优雅的前奏)

    例子说明:假设我有一个表示学生的对象类型还有一个表示学生集合的类型。学生集合类型主要就是用来容纳学生实体,集合类型提供一系列的方法可以对这个集合进行连续的操作,...

    王清培
  • 【入坑JAVA安全】JAVA反射机制

    Java反射机制是在运行状态时,对于任意一个类,都能够获取到这个类的所有属性和方法,对于任意一个对象,都能够调用它的任意一个方法和属性(包括私有的方法和属性),...

    tnt阿信

扫码关注云+社区

领取腾讯云代金券