关于我们挖掘的OAuth 2.0第三方帐号快捷登录授权劫持漏洞介绍

这是各大甲方在OAuth 2.0实现上的通用安全问题，并不是OAuth自身的漏洞，我们团队在上个月挖掘并给CNVD和CNNVD提交的，不过CNNVD的反应忒慢，而CNVD发通告又没有带上提交者名字，影响范围还把存在漏洞的甲方名字也写出来了，今天看到有人在某论坛发了分析帖子，也没有出处，看来我们写文章还是太太太少了……

我们分析到存在漏洞的甲方，已经给各大SRC平台提交了，如果有需要协助复测的可以留言。

这个通用问题的发现源于在对一个厂商进行漏洞挖掘时，偶然发现了他们的第三方授权登录存在被劫持的可能，后来再对其他厂商进行测试时，其中还包括一些比较大的厂商，发现并不是个例，大厂商尚且如此，何况那些小厂商呢，所以我们第一时间提交给了CNVD和CNNVD。

我们的分析都在同一台机器上进行，攻击者和受害者处于两个完全隔离的浏览器环境，厂商的IP分析等通过大数据分析来拦截异常登录不在本次分析讨论范围内(授权劫持后的登录)。

这次的测试都是拿比较大的站点官方网站来测试漏洞，也仅仅测试QQ快捷登录和微博快捷登录。经验证这些站点在注册第三方快捷登录时存在设置redirect_uri范围过大问题，再加上这些站点本身也没有限制网站直接对外发起资源请求，导致授权通过referer泄露给黑客，黑客之后通过获取到的数据可以登录用户账户。

这次测试只说明这些站点存在授权劫持问题，其下属的网站未做测试，也只做了QQ授权和微博授权，没有测试其他授权方式（如使用人人快速登录等授权方式），其余网站也未做测试，请厂商自测。

厂商自测：

下面是CNVD的通告原文：

安全公告编号:CNTA-2018-0008

2018年1月21日，国家信息安全漏洞共享平台（CNVD）接收了OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞（CNVD-2018-01622）。综合利用上述漏洞，攻击者可通过登录受害者账号，获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务，漏洞一旦被黑客组织利用，可能导致用户隐私信息泄露。

一、漏洞情况分析

OAuth（Open Authorization）是一个关于授权的开放网络标准，允许用户授权第三方移动应用，访问用户存储在其他服务提供者上的信息，而无需将用户名和密码提供给第三方移动应用或分享数据的所有内容。

该漏洞利用OAuth第三方授权无需用户名和密码的特点，结合redirect_uri未指定授权目录引发用户劫持攻击。攻击者通过登录某种社交网络服务，修改链接redirect_uri参数值指向，将伪造后的用户授权链接发给目标用户，当目标用户点击或被欺骗访问上述授权链接进行登陆后，攻击者即可通过referer获取用户授权，快速登录目标用户账号，还可登陆该账号绑定的其他网站信息，查看敏感信息或执行授权操作，还可以利用受害人账号进行非法信息传播、诈骗等非法行为。

CNVD对上述漏洞的综合评级为“中危”。

二、漏洞影响范围

上述漏洞影响采用第三方登陆授权方式的服务，如……等。

三、漏洞修复建议

CNVD建议广大用户采取如下措施进行漏洞的防范：

1. 在注册第三方授权时，redirect_uri需要限制到指定网站的指定目录，比如redirect_uri注册为passport.aaa.com/oauth/，而非aaa.com或者passport.aaa.com。

2. 禁止非源跳转。通过增加网站跳转的判断条件，禁止对非本网站的链接进行跳转。

参考链接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622