漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-045939
漏洞标题:绕过百度OAuth2.0认证的redirect_uri限制劫持帐号token
相关厂商:百度
漏洞作者: 超威蓝猫
提交时间:2013-12-15 12:51
修复时间:2014-01-29 12:52
公开时间:2014-01-29 12:52
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-12-15: 细节已通知厂商并且等待厂商处理中
2013-12-15: 厂商已经确认,细节仅向厂商公开
2013-12-25: 细节向核心白帽子及相关领域专家公开
2014-01-04: 细节向普通白帽子公开
2014-01-14: 细节向实习白帽子公开
2014-01-29: 细节向公众公开
简要描述:
绕过百度OAuth2.0认证的redirect_uri限制劫持帐号token
详细说明:
这里是通过百度来登录爱奇艺的链接:
其中,redirect_uri与client_id、state这两个参数是绑定的,如果更改redirect_uri为其他域名,则会提示"Invalid redirect uri"
漏洞存在于redirect_uri参数。
redirect_uri参数可以利用%40字符和%3F字符来绕过有效性检查。
我们构造一个地址:
其中,redirect_uri参数解码后为:
访问改地址,可以看到并没有提示redirect_uri非法,成功绕过了有效性检查。
漏洞证明:
访问上文中我们构造的地址:
登录我们的百度帐号并进行授权,成功跳转到了我们构造的地址,token泄漏:
危害:黑客可以精心构造一个页面来记录、劫持用户的token,进而控制用户的帐号。
修复方案:
加强对redirect_uri的校验。
另:近期我针对该类型的redirect_uri跳转缺陷进行了检测,陆续提交了各大厂商此类型的OAuth漏洞,也是大部分厂商也给予了较高的RANK评价,有的厂商还寄送了礼物表示感谢。我长期以来也有关注乌云上有关百度的安全事件,私以为百度针对大部分安全事件给予白帽子们的RANK评价普遍偏低,不太合理。以至于我在一些技术交流群中看到"百度给的分那么低我提交个毛,还不如卖给黑产"此类言论,望百度以正确积极的态度来尊重白帽子们的辛勤劳动。
版权声明:转载请注明来源 超威蓝猫@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2013-12-15 15:05
厂商回复:
鉴于以下几点,我们认为该漏洞为低危:
1. OAuth鉴权分为两种方式,一种是authorization code的形式,也就是超威蓝猫演示的这种。在这种方式下,绕过redirect uri可以获取authorization code,但是需要有应用的secret key才能进一步换取access token。
2. implicit grant的授权方式。在该方式下,通过应用的appid就能换取access token。但是在该方式下,redirect uri需要匹配注册回调地址的全路径。这种绕过方式没有效果。
感谢对百度安全的支持。
最新状态:
暂无