- hasegawayosuke
- 9339
- 0
- 40
- 15
Open Redirect+OAuthについてまとまってる /cc @hasegawayosuke "Covert Redirect Vulnerability" http://t.co/Be44UVT4fc
2014-05-07 11:17:17“OAuth 2.0 and OpenID Covert Redirect Vulnerability” http://t.co/PoAo3rNqtq
2014-05-07 11:47:08OAuthでのConvert Redirectについてはこの記事が一番分かりやすいし認識も妥当だと思う。OAuth2仕様の脆弱性ではなく(redirect_uri周りの)実装の脆弱性。 / “Leandro Boffi » Blo…” http://t.co/JpZeEFPtVd
2014-05-07 11:48:37OAuth Convert Redirect種類としてはちょっと前のTwitterのOAuth脆弱性に近い、redirect_uriを上書きできちゃう系。今回は同一ドメインなら上書きできちゃう&外部サイトのOpen Redirectを指定、というだけ。
2014-05-07 11:50:41つーかESPNのOpen Redirectは元のGETパラメタまで引き継ぐとかヤバすぎるだろw OAuth以外にもいろいろ悪用できそうだ。まだ動いてるし。
2014-05-07 11:53:12covert redirectは煽り過ぎかな。発表者が名前付け&サイト準備とかマーケティングうまかったのと、heartbleedの直後でメディアが乗りやすかっただけかと。
2014-05-07 12:30:37オープンリダイレクタ、それ自体は大した問題じゃないという認識のもと、ほんとどこにでも存在してるので、URLを確認するときに自サイトか否か、みたいな判定で重要な処理があると、oauthだったりXHRだったりその他諸々だったりとの組み合わせで明確に脆弱になる。
2014-05-07 13:24:49@kazuho consumerがamazonとかESPN, Facebook自体みたいにリダイレクタを持っちゃってるドメインなのが問題ですかね
2014-05-07 13:31:03@kazuho is this a documented behavior that browsers carry over the URI fragment in redirects? that might be interesting...
2014-05-07 13:48:00would be interesting to implement such "open redirector" using META refresh rather than 301/2 redirects, to avoid keeping URI fragments
2014-05-07 13:59:44(t.co uses META refresh when User-Agent is that of web browsers, instead of 301)
2014-05-07 14:01:08OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp http://t.co/pwWNFF7Unn
2014-05-07 16:57:05@nov browserがtamper云々がよくわからないんですが、URIフラグメントをリダイレクト時に引き継ぐのはブラウザの通常の挙動ではないでしょうか?
2014-05-07 17:38:13@nov response_type=codeに関しては、書かれてるとおりですが、implicit flowでtokenの場合、さっきのURIフラグメントが引き継がれるのとあわせて、成立してしまいませんかね?
2014-05-07 17:52:09Covert Redirect Vulnerability with OAuth 2 - tl;dr Covert Redirect Vulnerability is a real, if not new,... http://t.co/GznutfRJW9
2014-05-07 18:16:02John Bradleyはブラウザはリダイレクトでフラグメントを送信しないって言ってるけど、Chrome/Firefoxは送信するよね。だからImplicit flowではやっぱりアクセストークン漏れる気がするけど。
2014-05-07 18:27:11訂正記事 / “Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp” http://t.co/PGq9D84TST
2014-05-07 21:20:21