《紧急警告!账号劫持大漏洞,玩家账号安全危机》
26
1
紧急!用户隐私面临严重威胁:OAuth2漏洞曝光
近日,国内知名站点站长之家记者从国内资深互联网应用安全提供商知道创宇安全研究团队处获悉,一项严重危害用户隐私的漏洞已被发现。这一漏洞影响范围广泛,包括旅游、招聘、娱乐、SNS交友、各大电商等各类网站均可能受到影响。令人担忧的是,国内使用第三方登录机制的网站中普遍存在此漏洞。
漏洞危害严重,用户账号面临劫持风险
由于此类攻击不受同源策略等浏览器的安全限制,且不易被目标发现,因此危害严重。一旦被利用,用户的账号会被永久劫持,账户信息会被任意浏览和改动。此前,已经出现过关联类漏洞,疑似已有攻击者开始利用这个漏洞进行实际攻击。广大网民需确认自身账号信息是否已遭恶意劫持,并及时采取措施保护自身账号。
漏洞成因:OAuth2授权机制使用不当
经确认,此漏洞是由于开发人员没有正确按照OAuth2授权机制的开发文档使用OAuth2,导致攻击者能够实施跨站请求伪造(CSRF)通过第三方网站来劫持用户在目标网站的账户。具体劫持流程如下:
虚拟测试:模拟漏洞攻击过程
(此处省略虚拟测试内容)