2014-05-06:细节已通知厂商并且等待厂商处理中
2014-05-06:厂商已经主动忽略漏洞,细节向公众公开
各位大哥赶紧看看自己的OAuth平台对于回调URL的域名验证是不是有问题, 别急着发微博了.
详细说明:回调URL的域名验证可以被\绕过
漏洞证明:http://openapi.baidu.com/oauth/2.0/authorize?response_type=code&client_id=RCKbWANx8KewnXs9rwGWFtZV&redirect_uri=http://www.abc.com\.oauth.qunar.com/oauth-client/baidu/login
修复方案:对于 WooYun: 绕过百度OAuth2.0认证的redirect_uri限制劫持帐号token 的厂商评论不敢苟同, 你们仅仅是从server端的角度来考虑这个漏洞的危害, 但忽略了client端由于你们对回调URL过滤不严而产生的威胁. 具体例子可以看http://zhuanlan.zhihu.com/wooyun/19745587
版权声明:转载请注明来源 p.z@乌云 漏洞回应 厂商回应:危害等级:无影响厂商忽略
忽略时间:2014-05-06 13:53
厂商回复:针对无server端的oauth授权,redirect_uri的匹配方式是通过字符串比较进行的。并非解析出域名。
针对有server端的oauth授权,即p.z同学在该漏洞中演示的,此时返回的是authorize code。authorize code是无法进行账户登录和账户相关信息获取的。必须使用secret key,从server端换取access token。故认为该漏洞无影响。感谢对百度安全的支持。
暂无
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;