两款互联网登录系统曝出重大漏洞 短期内或无法修复 (Covert Redirect)

安全漏洞

继OpenSSL漏洞后,开源安全软件再曝安全漏洞新加坡南洋理工大学安全研究人员,物理和数学科学学院博士生王晶(Wang Jing )发现,Oauth 2.0, OpenID 授权接口的网站存隐蔽重定向漏洞、英文名为“Covert Redirect”。[1-2]   

 

入侵技术

攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。[2] 

 

 

 

漏洞危害

黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,一旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。[1] 

腾 讯,阿里巴巴,QQ、新浪微博、淘宝网,支付宝,网易,PayPal, eBay, Amazon, Facebook、Google, LinkedIn, Yahoo, VK.com, Microsoft,  Mail.ru, Github, WordPress 等国内外大量知名网站受影响。[1] 

 

鉴 于OAuth和OpenID被广泛用于各大公司——如微软、Facebook、Google、以及 LinkedIn——Wang表示他已经向这些公司已经了汇报。Wang声称,微软已经给出了答复,调查并证实该问题出在第三方系统,而不是该公司的自有 站点。Facebook也表示,“短期内仍无法完成完成这两个问题的修复工作,只得迫使每个应用程序平台采用白名单”。至于Google,预计该公司会追 踪OpenID的问题;而LinkedIn则声称它将很快在博客中说明这一问题。[2] 

 

 

 

背景知识

Oauth是 一个被广泛应用的开放登陆协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的信息(如照片,视频,联系人列表),而无需将用户名和密码提供给 第三方应用。这次曝出的漏洞,可将Oauth2.0的使用方(第三方网站)的回跳域名劫持到恶意网站去,黑客利用XSS漏洞攻击就能随意操作被授权的账 号,读取用户的隐私信息。像腾讯、新浪微博等社交网站一般对登陆回调地址没有任何限制,极易遭黑客利用。[1] 

 

 

 

 

参考资料,

12の観光自身の誠実な勧告

12の観光自身の誠実な勧告

種類のゲームにおける観 光の全員が再生されているが今、多くの人が、観光に行くが、観光業に完全に考えないように、自然に行く必要があり、唯一の目標は、市内でいるので、再生す ることです一つは、人生の別の種類での生活を体験することができませんし、我々は完全に観光にホッとします。

love 5

自分の旅行で2、私たちはそこに誰も害を与えない、1セットは警戒するように、それぞれの海奇妙なフランケンシュタインの様々な遭遇する、防御策はなしで行うことはできません。

uは動いていない、旅行にある、あまりにも多くの3旅行を服用しないでください。

など風邪薬、下痢の薬、雲南百薬、など4一般的に使用される薬を、買って、それはいくつかのチョコレートを取得するために最善である、高脂肪

トップ5観光客、あまりにも多くのいくつかの現金を取得することがベストですが、ではない、完全に準備されるべき1つのセット、。

図6は、1にも使用されていない場合でも、シートを買うGPSを取った場合でも、地図を見いずれかを購入するために一つの場所にあなたのルートを計画するために、それはまた、撮影することができます。

7は、観光なので、私たちは森林、田舎に、良いテントを取る必要があり、睡眠は1楽しいuはホテルで感じることができない選択、が、安全に注意を払うように与えられたものである。

8 uはやかんは常に水を持っている必要があり、水分をキャンプしない場合に、特に、その後の方法は、非常に困難になります。

9つの方法は、他の人の慣習を尊重するために、1カスタムを持っている。

10プロセスは、他の人に何かを貸す、また誰かの何か、特に水、お金を貸していません。

11後に野生で一つ火は火ではなく、火星を設定すべきではありません。

図12は、動物の環境を保護する。

最も重要なことは、自宅でスナップショットを取るためにタイムリーです。

Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe

Alle Links zu New York Times Artikel Vor 2013 anfällig für XSS-Angriffe

 

URLs, um Artikel in der New York Times (NYT) vor 2013 veröffentlicht wurden gefunden anfällig für einen XSS (Cross-Site Scripting) Angriff der Lage ist, Code im Kontext des Web-Browsers ausgeführt werden zu können.

 

c5e0b49392f4e9f877a6fe8f9b8eccc5


Basierend auf nytimes die Gestaltung, fast alle URLs vor 2013 sind betroffen (Alle Seiten von Artikeln). In der Tat, alle Artikel Seiten, die Schaltfläche “Drucken”, “Jede Seite” Taste enthalten, werden “Seite *” Taste “NEXT PAGE” -Taste beeinflusst.

 

Nytimes geändert diesen Mechanismus seit 2013. Es decodiert die URLs, seine Server gesendet. Dadurch ist der Mechanismus nun viel sicherer.

 

Jedoch werden alle URLs vor 2013 immer noch mit dem alten Mechanismus. Das bedeutet fast allen Artikelseiten vor 2013 sind immer noch anfällig für XSS-Angriffe. Ich denke, der Grund, nytimes keine URLs filtern, bevor die Kosten. Es kostet zu viel (Geld und Humankapital), um in der Datenbank nach Artikel gepostet, bevor ändern.

 

Die Sicherheitslücke wurde von einem Mathematik Doktorand Wang Jing von der Schule für Physikalische und Mathematische Wissenschaften (SPMS), Nanyang Technological University, Singapur.

 

POC und Blog Erklärung von Wang gegeben,
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

Unterdessen sagte Wang: “Die New York Times hat einen neuen Mechanismus jetzt angenommen. Dies ist eine bessere Schutzmechanismus.”

 

 

Auch wenn die Artikel sind alt, sind die Seiten noch relevant
Ein Angriff auf neueren Artikel würde auf jeden Fall haben erhebliche Auswirkungen gehabt, aber Artikeln von 2012 oder sogar noch älter sind alles andere als überholt. Es wäre immer noch im Rahmen eines Angriffs von Bedeutung sein.

 

Cyberkriminelle können verschiedene Möglichkeiten, um den Link, um potenzielle Opfer zu senden und aufzuzeichnen hohen Erfolgsraten, alle mit mehr gezielte Angriffe zu entwickeln.

 

 

Was ist XSS?
Cross-Site Scripting (XSS) ist eine Art von Computer-Sicherheitslücke in der Regel in Web-Anwendungen gefunden. XSS ermöglicht es Angreifern, clientseitige Skript in Webseiten, die von anderen Benutzern eingesehen zu injizieren. Eine Cross-Site-Scripting-Schwachstelle kann von Angreifern wie der Same Origin Policy verwendet werden, um Zugangskontrollen zu umgehen. Cross-Site Scripting auf Webseiten durchgeführt entfielen rund 84% aller Sicherheitslücken von Symantec ab 2007 dokumentiert (Wikipedia)

 

 

 

 

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS

Tous les liens vers les articles du New York Times Avant 2013 vulnérable aux attaques XSS

 

URL vers des articles dans le New York Times (NYT) publiés avant 2013 ont été trouvés à être vulnérables à un (cross-site scripting) attaque XSS capable de fournir le code doit être exécuté dans le contexte du navigateur web.

 

Basé sur la conception de NYTimes, Presque toutes les URL avant 2013 sont affectés (Toutes les pages d’articles). En fait, toutes les pages d’articles qui contiennent bouton “Imprimer”, “PAGE SINGLE” bouton “page *” bouton, le bouton “Page suivante” sont touchés.

 

Nytimes changé ce mécanisme depuis 2013. Il décode les URL envoyées à son serveur. Cela rend le mécanisme beaucoup plus en sécurité maintenant.

 

Cependant, toutes les URL avant 2013 utilisent encore l’ancien mécanisme. Cela signifie presque toutes les pages de l’article avant 2013 sont encore vulnérables à des attaques XSS. Je suppose que la raison NYTimes ne filtre pas avant URL est le coût. Ça coûte trop cher (de l’argent et le capital humain) pour changer la base de données de tous les articles publiés auparavant.

 

images31

 

La vulnérabilité a été trouvé par un étudiant de doctorat en mathématiques Wang Jing de l’École de sciences physiques et mathématiques (SPMS), Université technologique de Nanyang, à Singapour.

 

POC et Blog explication donnée par Wang,
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

Pendant ce temps, Wang a dit que “Le New York Times a adopté un nouveau mécanisme maintenant. Ce est un meilleur mécanisme de protection.”

 

 

Même si les articles sont vieux, les pages sont toujours d’actualité
Une attaque sur les articles les plus récents aurait certainement eu un impact significatif, mais les articles de 2012 ou même plus sont loin d’être obsolète. Ils seraient toujours pertinente dans le contexte d’une attaque.

 

Les cybercriminels peuvent concevoir plusieurs façons d’envoyer le lien aux victimes potentielles et d’enregistrer des taux de réussite élevés, toutes les attaques ciblées plus avec.

 
Quel est XSS?
Cross-site scripting (XSS) est un type de vulnérabilité de la sécurité informatique trouve généralement dans les applications Web. XSS permet aux pirates d’injecter un script côté client dans des pages Web consultées par les autres utilisateurs. Un cross-site scripting vulnérabilité peut être utilisée par des attaquants afin de contourner les contrôles d’accès tels que la politique de même origine. Cross-site scripting effectué sur des sites Web a représenté environ 84% de toutes les vulnérabilités de sécurité documentés par Symantec à partir de 2007. (Wikipedia)

 

 

 

 

 

références:

XSS攻撃に対して脆弱先立ち2013年にニューヨーク·タイムズ紙の記事へのすべてのリンク

XSS攻撃に対して脆弱先立ち2013年にニューヨーク·タイムズ紙の記事へのすべてのリンク

 

 

2013の前に公開されたニューヨーク·タイムズ(NYT)の資料へのURLは、Webブラウザのコンテキストで実行されるコードを提供できるXSS(クロスサイトスクリプティング)攻撃に対して脆弱であることが見出されている。

 

NYTimesのの設計に基づいて、ほぼ2013年前にすべてのURLが(記事のすべてのページを)影響を受けます。実際には、「印刷」ボタン、「単一ページ」ボタンを含むすべての記事ページには、「ページ*」ボタン、「次ページ」ボタンが影響を受けます。

 

324748_1280x720

 

NYTimesのは、そのサーバに送信されたURLを復号化し、2013年以来、このメカニズムを変更しました。これは今メカニズムはるかに安全になります。

 

し かし、2013年前にすべてのURLは古いメカニズムを使用しています。これは2013年前にほとんどすべての記事ページはまだXSS攻撃に対して脆弱で あることを意味します。私はNYTimesの前にURLをフィルタリングしない理由はコストだと思います。それは前にすべての投稿記事のデータベースを変 更する(マネー&人的資本)あまりかかります。

 

この脆弱性は、物理の学校と数理科学(SPMS)、南洋理工大学、シンガポールから数学の博士課程の学生によって(Wang Jing) 発見されました。

 

王によって与えられたPOCとブログの説明、
https://www.youtube.com/watch?v=RekCK5tjXWQ
http://tetraph.com/security/xss-vulnerability/new-york-times-nytimes-com-page-design-xss-vulnerability-almost-all-article-pages-are-affected/

 

 

一方、王は「ニューヨーク·タイムズ紙は、これはより良い保護メカニズムです。今新しいメカニズムを採用しています。」と述べた

 

記事が古い場合でも、ページがまだ関連しています
最近の記事への攻撃は間違いなく大きな影響を持っていただろうが、2012年、あるいはそれ以上の年齢の記事は廃止されてから遠く離れている。彼らはまだ攻撃の文脈において関連があるでしょう。

 

サイバー犯罪者は、高い成功率、すべての複数と標的型攻撃を潜在的な被害者へのリンクを送信し、記録するさまざまな方法を考案することができる。

 

XSSとは何ですか?
ク ロスサイトスクリプティング(XSS)は、典型的には、Webアプリケーションで見つかったコンピュータセキュリティの脆弱性の一種です。 XSSは、他のユーザが閲覧するWebページにクライアント側のスクリプトを注入するために、攻撃を可能にします。クロスサイトスクリプティングの脆弱性 は、同一生成元ポリシーとしてアクセス制御をバイパスするために攻撃者によって使用されてもよい。ウェブサイト上で行わクロスサイトスクリプティングは、 2007年のようにSymantecが文書化されたすべてのセキュリティ脆弱性の約84%を占めた(ウィキペディア)

 

 

 

 

 

 

纽约时报所有2013年前旧文章XSS漏洞

纽约时报所有2013年前旧文章XSS漏洞
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
Morning Dew On A Web Desktop Background
新加坡南洋理工大学物理和数学科学学院博士生王晶(Wang Jing)发现,纽约时报所有2013年前的文章都可已用来攻击。“2013年前所有包含“PRINT”,”SINGLE PAGE”, “Page” 和“NEXT PAGE” 按钮的文章都有此漏洞“。
当被问及漏洞的重要性时,王晶回答“对XSS攻击而言,非常重要的一件事情是如何说服受害者点击URL。因为所有的旧文章都可已用来攻击,所有用户非常容易遭受攻击“。
研究者王发布了一个POC视频和博客说明:
王同时说明,纽约时报现在采取了一种更安全的机制,这种机制不再遭受XSS攻击。
发布在2013年前的文章是否重要?
问前还是非常严重的,因为所有 纽约时报2013年前的文章还在被大量引用。 据此产生的流量也非常大。所以此漏洞及易使纽约时报用户和其他合作者遭受攻击。
XSS 攻击后果?
漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。 用户可以被窃取个人资料,重定向到其他页面等。
参考文章: