双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號(hào):CNTA-2018-0008

2018年1月21日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）接收了OAuth 2.0存在第三方帳號(hào)快捷登錄授權(quán)劫持漏洞（CNVD-2018-01622）。綜合利用上述漏洞，攻擊者可通過(guò)登錄受害者賬號(hào)，獲取存儲(chǔ)在第三方移動(dòng)應(yīng)用上的敏感信息。由于OAuth廣泛應(yīng)用于微博等社交網(wǎng)絡(luò)服務(wù)，漏洞一旦被黑客組織利用，可能導(dǎo)致用戶隱私信息泄露。

一、漏洞情況分析

OAuth（Open Authorization）是一個(gè)關(guān)于授權(quán)的開(kāi)放網(wǎng)絡(luò)標(biāo)準(zhǔn)，允許用戶授權(quán)第三方移動(dòng)應(yīng)用，訪問(wèn)用戶存儲(chǔ)在其他服務(wù)提供者上的信息，而無(wú)需將用戶名和密碼提供給第三方移動(dòng)應(yīng)用或分享數(shù)據(jù)的所有內(nèi)容。

該漏洞利用OAuth第三方授權(quán)無(wú)需用戶名和密碼的特點(diǎn)，結(jié)合redirect_uri未指定授權(quán)目錄引發(fā)用戶劫持攻擊。攻擊者通過(guò)登錄某種社交網(wǎng)絡(luò)服務(wù)，修改鏈接redirect_uri參數(shù)值指向，將偽造后的用戶授權(quán)鏈接發(fā)給目標(biāo)用戶，當(dāng)目標(biāo)用戶點(diǎn)擊或被欺騙訪問(wèn)上述授權(quán)鏈接進(jìn)行登陸后，攻擊者即可通過(guò)referer獲取用戶授權(quán)，快速登錄目標(biāo)用戶賬號(hào)，還可登陸該賬號(hào)綁定的其他網(wǎng)站信息，查看敏感信息或執(zhí)行授權(quán)操作，還可以利用受害人賬號(hào)進(jìn)行非法信息傳播、詐騙等非法行為。

CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“中危”。

二、漏洞影響范圍

上述漏洞影響采用第三方登陸授權(quán)方式的服務(wù)。

三、漏洞修復(fù)建議

CNVD建議第三方應(yīng)用平臺(tái)采取如下措施進(jìn)行漏洞的防范，同時(shí)請(qǐng)廣大用戶注意第三方授權(quán)鏈接，謹(jǐn)慎輸入賬號(hào)密碼：

1. 在注冊(cè)第三方授權(quán)時(shí)，redirect_uri需要限制到指定網(wǎng)站的指定目錄，比如redirect_uri注冊(cè)為passport.aaa.com/oauth/，而非aaa.com或者passport.aaa.com。

2.?禁止非源跳轉(zhuǎn)。通過(guò)增加網(wǎng)站跳轉(zhuǎn)的判斷條件，禁止對(duì)非本網(wǎng)站的鏈接進(jìn)行跳轉(zhuǎn)。

參考鏈接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622