针对近期博全球眼球OAuth漏洞的分析与防范建议-知道创宇.PDF

知道创宇安全研究团队 针对近期“博全球眼球OAuth 漏 洞”的分析与防范建议 Fooying、Erevus 2014-5-5 鸣谢微博安全团队 1. OAuth 介绍 1.1. OAuth 简介 来自OAuth 的官网解释： An open protocol to allow secure authorization in a simple and standard method from web ， mobile and desktop applications. OAuth is a simple way to publish and interact with protected data. Its also a safer and more secure way for people to give you access. Weve kept it simple to save you time. 大概的意思是OAuth 是一种开放的协议，为桌面程序或者基于BS 的Web 应用提供了 一种简单的，标准的方式去访问需要用户授权的 API 服务。OAuth 是一个发布并与受保护 数据交互的简单方法。这也是一个更安全的访问方式。我们已经保持它的简单来节约您的时 间。 简单的说，OAuth 就是第三方的应用可以通过你的授权而不用知道你的帐号密码能够访 问你在某网站的你自己的数据或功能。像weibo 、QQ、淘宝等网站都提供了OAuth 服务， 提供 OAuth 服务的网站一般都有很多开放的API ，第三方应用会调用这些API 来开发他们 的应用以让用户拥有更多的功能，但是，当用户在使用这些第三方应用的时候，这些第三方 的应用会来访问用户的帐户内的功能和数据，所以，当第三应用要干这些事的时候，我们不 能让第三方应用弹出一个对话框来问用户要他的帐号密码，不然第三方的应用就把用户的密 码给获取了，所以，OAuth 协议会跳转到一个页面，让用户授权给这个第三方应用以某些权 限，然后，这个权限授权的记录保存在提供OAuth 服务的网站上， 并向第三方应用返回一 个授权token ，于是第三方的应用通过这个token 来操作某用户帐号的功能和数据时，就畅 通无阻了。 这其实是一个授权操作的过程，用户注册帐号的网站（如微博等）提供OAuth 服务，第 三方服务想调用用户对应帐号的相关信息做帐号相关的操作，就会请求 OAuth 提供方的授 权，当OAuth 提供方询问用户并得到授权，就会给予第三方服务一些权限做相对应的操作。 © 2014 知道创宇安全研究团队 1 1.2. OAuth 2.0 OAuth 分为OAuth 以及OAuth 2.0 。OAuth Core 1.0 版本发布于2007 年 12 月4 日，由 于存在可被会话定向攻击(session fixation attack) 的缘故，2009 年 6 月 24 日发布了OAuth Core 1.0 Revision A 版本。最终在2010 年4 月，OAuth 成为了RFC 标准： RFC 5849: The OAuth 1.0 Protocol。 OAuth 2.0 的草案是在2010 年5 月初在IETF 发布的。OAuth 2.0 是OAuth 协议的下一 版本，但不向后兼容OAuth 1.0 。OAuth 2.0 关注客户端开发者的简易性，同时为Web 应用， 桌面应用和手机，和起居室设备提供专门的认证流程。规范还在IETF OAuth 工作组的开发 中，按照Eran Hammer-Lahav 的说法，OAuth 于2010 年末完成。 OAuth 2.0 授权框架允许第三方应用程序获得指定HTTP 服务的有限的访问权限。 1.3. 授权交互流程 OAuth 的授权有四种方式，主流采用两种方式，分别是 Authorization Code （response_type=code ）与Implicit （response_type=token ）。 Authorization Code 方式授权交互： © 2014 知道创宇安全研究团队