ソース:
脆弱性:OAuth
訳:
OAuth は安全になるように設計されていますが、このプロセスに欠陥があると、攻撃者が新しい Web サイト上のアカウントを乗っ取る可能性があり。
セキュリティ研究者は最近、攻撃者にアカウントを完全に制御させる重要なゼロデイ手法を発見しました。
この脆弱性はほぼすべての Web サイトに影響を及ぼし、すべての OAuth ユーザーにとって差し迫った懸念事項となっていて。
攻撃を再現する方法は次のとおりで。
- Facebook を使用して Oauth にサインアップして。
新しい Facebook ポップアップで、 [アクセス権の編集] をクリックし、電子メールの共有がオフになっていることを確認し。 - サインアップを完了するために、新しい作成アカウントにリダイレクトされ。 電子メール アドレス フィールドが空であることに注意してく。
Facebook ポップアップで電子メール共有オプションを無効にしたことを思い出してくだ。 - これで、アカウントの作成に進み、リクエストを受信できるようになり。 リクエストは次のように。
First_name={your first name of Facebook}&Second_name={Your second name of facebook}&Username={Username you entered}&email=
4. 引き継ぎたいアカウントのメールアドレスを入力して、
ドーン! これで、あなたは被害者としてログインし。
ほなほな。
