观看本文前建议先阅读:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
在多次实战中发现,很多程序员都会把登陆接口遗忘掉,哪怕做*.abc.com域的限制也有办法突破。
正常来说,接口处需要这些信息
https://a.yongshao.com/auth/oauth/authorize?client_id=xx&redirect_uri={白名单uri}&response_type={返回值}
很多网站登陆的时候都基本上这么写,有的要么是
https://a.yongshao//Login?redirect_url=https://www.yongshao.com
这种存在的漏洞的机率不过于Redirect,但是如果跳转后attack.com站点带上了token或者登陆认证信息,那么极有可能导致账户被攻击者登陆。可以参考:https://pan.baidu.com/s/1iNUr1tB-mP97jw4OKzB9iw --呆子不开口,在defcon上的演讲。其实他的研究的比我透切些(我也在学习)。
讲个栗子:
A网站存在泄漏登陆凭证,然后我把这段字符串,http://yongshao.com/#access_token=xxxxxxxxxxxxxxxxx
(这里我不会告诉你#号怎么做处理的)
获取到之后写入文件
然后利用这个登陆受害者账户发布信息
(这里不能泄漏太多了)
其实这种案例还有很多,这里暂不做具体分享了,不然我ppt的东西被你们看完等演讲的时候又要找新案例了。
过几天闲了再发一个别的文章
以上小姐姐所述
我司一概不负责
本文始发于微信公众号(逢人斗智斗勇):最容易被忽略的接口
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论