漏洞详情

披露状态:

2014-05-06: 细节已通知厂商并且等待厂商处理中
2014-05-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

各位大哥赶紧看看自己的OAuth平台对于回调URL的域名验证是不是有问题, 别急着发微博了.

详细说明:

回调URL的域名验证可以被\绕过

漏洞证明:

http://openapi.baidu.com/oauth/2.0/authorize?response_type=code&client_id=RCKbWANx8KewnXs9rwGWFtZV&redirect_uri=http://www.abc.com\.oauth.qunar.com/oauth-client/baidu/login

修复方案:

对于 WooYun: 绕过百度OAuth2.0认证的redirect_uri限制劫持帐号token 的厂商评论不敢苟同, 你们仅仅是从server端的角度来考虑这个漏洞的危害, 但忽略了client端由于你们对回调URL过滤不严而产生的威胁. 具体例子可以看http://zhuanlan.zhihu.com/wooyun/19745587

版权声明:转载请注明来源 p.z@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-06 13:53

厂商回复:

针对无server端的oauth授权,redirect_uri的匹配方式是通过字符串比较进行的。并非解析出域名。
针对有server端的oauth授权,即p.z同学在该漏洞中演示的,此时返回的是authorize code。authorize code是无法进行账户登录和账户相关信息获取的。必须使用secret key,从server端换取access token。故认为该漏洞无影响。感谢对百度安全的支持。

最新状态:

暂无


漏洞评价: