2018年1月21日,国家信息安全漏洞共享平台(CNVD)接收了OAuth2.0存在第三方帐号快捷登录授权劫持漏洞(CNVD-C-2018-06621)。综合利用上述漏洞,攻击者可通过登录受害者账号,获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务,漏洞一旦被黑客组织利用,可能导致用户隐私信息泄露。
漏洞修复建议
CNVD建议第三方应用平台采取如下措施进行漏洞的防范,同时请广大用户注意第三方授权链接,谨慎输入账号密码:
1.在注册第三方授权时,redirect_uri需要限制到指定网站的指定目录,比如redirect_uri注册为passport.aaa.com/oauth/,而非aaa.com或者passport.aaa.com。
2. 禁止非源跳转。通过增加网站跳转的判断条件,禁止对非本网站的链接进行跳转。
领取专属 10元无门槛券
私享最新 技术干货