咬定青山不放松,立根原在破岩中。千磨万击还坚劲,任尔东西南北风

© 竹意 | Powered by LOFTER

阿里巴巴支付宝 OAuth?2.0 Covert Redirect 系统漏洞 (信息泄漏& 公开跳转

来自:醉雨他乡游

Covert Redirect: http://tetraph.com/covert_redirect/


Covert Redirect Related to OAuth 2.0 and OpenID: http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html




Alipay 的 OAuth 2.0 系统可能遭到攻击。更确切地说, Alipay 对 OAuth 2.0 系统的 parameter “&goto“ 验证不够充分。可以用来构造对 Alipay 的 URL跳转 攻击。


与此同时,这个漏洞可以用来收集第三方 App 和 用户 的敏感信息(敏感信息包含在 HTTP header里), 


它也增加了对第三方网站 URL跳转 攻击的成功率。



漏洞地点 "login/express.htm?",参数"&goto", e.g.

https://auth.alipay.com/login/express.htm?goto=https://memberexprod.alipay.com/authorize/userAuthQuickLoginAction.htm?e_i_i_d=41da904223e68d291bfb0eecbff264e1[1]



同意三方 App 前:

当一个已经登录的 Alipay 用户点击上面的 URL ([1]), 对话框会询问他是否接受第三方 App 接收他的信息。如果同意,他会被跳转到 参数 "&goto" 的 URL。


如果没有登录的Alipay 用户点击 URL ([1]), 他登录后会发生同样的事情。



同意三方 App 后:

已经登录的 Alipay 用户 不会再被询问是否接受 三方 App。当他点击 URL ([1]) 时,他会被直接跳转到攻击者控制的页面。


如果 Alipay 用户没有登录,攻击依然可以在要求他登录的Alipay的对话框被确认后完成(这个过程不会提示任何和三方 App 有关的内容)。




(1) 因为 Alipay 的 OAuth 2.0 客户很多,这样的攻击可以很常见。


在同意三方 App 之前,Alipay 的 OAuth 2.0 让用户更容易相信被跳转的页面是安全的。这增加了三方 App 被 URL跳转 攻击的成功率。


同意三方 App 后, 攻击者可以完全绕过 Alipay 的 URL跳转 验证系统。



用了一个页面进行了测试, 页面是 "http://tetraph.tumblr.com/". 可以假定它是有害的,并且含有收集三方 App 和用户敏感信息的 code。


下面是一个有漏洞的三方 domain:

cjcp.com.cn


这个 domain 有漏洞的 URL:

http://uc.cjcp.com.cn/?m=pay&a=login&furl=http://tetraph.com/essayjeans/outings/听海.html


攻击者在浏览器输入 URL,

http://uc.cjcp.com.cn/?m=pay&a=login&furl=http://tetraph.com/essayjeans/outings/听海.html


然后,攻击者可以得到 URL,

https://auth.alipay.com/login/express.htm?goto=https://memberexprod.alipay.com/authorize/userAuthQuickLoginAction.htm?e_i_i_d=41da904223e68d291bfb0eecbff264e1 [2]


如果用户点击 URL [2], 攻击发生。



测试是基于Windows 7 的 IE (9.0.15) 和 Ubuntu (12.04) 的 Firefox (26.0)。





More Details:

Blog: http://www.tetraph.com/blog/category/covert-redirect/

Youtube: http://www.youtube.com/user/tetraph/feed?activity_view=3






 
评论
 
回到顶部