Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Способы захвата аккаунта с помощью токенов OAuth (http://txgate.io:443/showthread.php?t=11945)

Artifact 02-11-2025 06:33 PM

Эксперт описал методы киберпреступников и меры по защите своего аккаунта
https://www.securitylab.ru/upload/ib...80a343ad4b.jpg
Исследователь безопасности обнаружил, что можно выполнить захват учетной записи одним щелчком мыши, используя процесс открытой аутентификации OAuth.
Ключевая особенность применения OAuth заключается в том, что, если пользователь имеет один защищенный аккаунт, то с помощью технологии OAuth можно пройти аутентификацию на других сервисах, при этом пользователю не требуется вводить свои логин и пароль.
В некоторых сценариях злоумышленник может использовать OAuth, чтобы украсть токены и выполнить захват учетной записи одним щелчком мыши. 6 июля советник по безопасности в Detectify Франс Розен рассказал о нескольких потенциальных векторах атак и о том, как организации могут снизить риск компрометации.
Розен описал эти сценарии как «грязные танцы». Злоумышленник может злоупотребить процессами аутентификацией OAuth и связью между браузером и поставщиком услуг. Киберпреступник может комбинировать переключение типа ответа, недопустимые состояния и объекты URI-программирования для кражи кода авторизации или токена.
Чтобы украсть токен, киберпреступник должен сначала разорвать цепочку между системой, выпускающей токены, и поставщиком услуг, который их использует. Для этого нужно изменить значение состояния через специально созданную ссылку, отправляемую жертве в виде фишинговой страницы входа.
После входа в систему жертва будет перенаправлена ​​обратно на веб-сайт, при этом «танец» токена прерывается, так как для пользователя нет действительного состояния. Затем жертве будет показано сообщение об ошибке, и злоумышленник сможет передать данные и URL-адрес со страницы с ошибкой. «Теперь киберпреступник может войти в систему со своим собственным состоянием и кодом, полученным от жертвы».
«При правильном использовании OAuth при получении токена от сервиса необходимо также предоставить поставщику услуг redirect_uri для проверки. Если redirect_uri, который использовался в «танце», не соответствует значению, которое веб-сайт отправляет провайдеру, токен доступа не будет выдан», — объяснил Розен.
Также киберпреступник может выполнить XSS-атаку на сторонний домен, который получает данные URL-адреса во время аутентификации, и использовать API-интерфейсы для получения URL-адреса.
Чтобы снизить риск атаки, исследователь рекомендует просмотреть руководство по безопасности OAuth 2.0 . Следует убедиться, что страницы ответа авторизации OAuth не содержат сторонних ресурсов или ссылок. Пользователь должен разрешать только ограниченные типы и режимы ответов OAuth.


All times are GMT. The time now is 10:47 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.