信息來源：國家互聯(lián)網(wǎng)應急中心

 2018年1月21日，國家信息安全漏洞共享平臺（CNVD）接收了OAuth 2.0存在第三方帳號快捷登錄授權劫持漏洞（CNVD-C-2018-06621）。綜合利用上述漏洞，攻擊者可通過登錄受害者賬號，獲取存儲在第三方移動應用上的敏感信息。由于OAuth廣泛應用于微博等社交網(wǎng)絡服務，漏洞一旦被黑客組織利用，可能導致用戶隱私信息泄露。

        一、漏洞情況分析

        OAuth（Open Authorization）是一個關于授權的開放網(wǎng)絡標準，允許用戶授權第三方移動應用，訪問用戶存儲在其他服務提供者上的信息，而無需將用戶名和密碼提供給第三方移動應用或分享數(shù)據(jù)的所有內(nèi)容。

        該漏洞利用OAuth第三方授權無需用戶名和密碼的特點，結合redirect_uri未指定授權目錄引發(fā)用戶劫持攻擊。攻擊者通過登錄某種社交網(wǎng)絡服務，修改鏈接redirect_uri參數(shù)值指向，將偽造后的用戶授權鏈接發(fā)給目標用戶，當目標用戶點擊或被欺騙訪問上述授權鏈接進行登陸后，攻擊者即可通過referer獲取用戶授權，快速登錄目標用戶賬號，還可登陸該賬號綁定的其他網(wǎng)站信息，查看敏感信息或執(zhí)行授權操作，還可以利用受害人賬號進行非法信息傳播、詐騙等非法行為。

        CNVD對上述漏洞的綜合評級為“中?！薄?nbsp;

        二、漏洞影響范圍

        上述漏洞影響采用第三方登陸授權方式的服務。

        三、漏洞修復建議

        CNVD建議第三方應用平臺采取如下措施進行漏洞的防范，同時請廣大用戶注意第三方授權鏈接，謹慎輸入賬號密碼：

        1. 在注冊第三方授權時，redirect_uri需要限制到指定網(wǎng)站的指定目錄，比如redirect_uri注冊為passport.aaa.com/oauth/，而非aaa.com或者passport.aaa.com。

        2. 禁止非源跳轉。通過增加網(wǎng)站跳轉的判斷條件，禁止對非本網(wǎng)站的鏈接進行跳轉。

        參考鏈接：http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622