2014年5月7日

Covert Redirectのまとめ

オープンリダイレクタ経由でoauthのtokenが漏れる「Covert Redirect」に関するまとめ。
11
azu @azu_re

Open Redirect+OAuthについてまとまってる /cc @hasegawayosuke "Covert Redirect Vulnerability" http://t.co/Be44UVT4fc

2014-05-07 11:17:17
Teppei Sato @teppeis

“OAuth 2.0 and OpenID Covert Redirect Vulnerability” http://t.co/PoAo3rNqtq

2014-05-07 11:47:08
Teppei Sato @teppeis

OAuthでのConvert Redirectについてはこの記事が一番分かりやすいし認識も妥当だと思う。OAuth2仕様の脆弱性ではなく(redirect_uri周りの)実装の脆弱性。 / “Leandro Boffi » Blo…” http://t.co/JpZeEFPtVd

2014-05-07 11:48:37
Teppei Sato @teppeis

OAuth Convert Redirect種類としてはちょっと前のTwitterのOAuth脆弱性に近い、redirect_uriを上書きできちゃう系。今回は同一ドメインなら上書きできちゃう&外部サイトのOpen Redirectを指定、というだけ。

2014-05-07 11:50:41
Teppei Sato @teppeis

とにかくプロバイダ実装側はredirect_uriは完全一致にしろってことですね。それだけです。

2014-05-07 11:51:25
Teppei Sato @teppeis

つーかESPNのOpen Redirectは元のGETパラメタまで引き継ぐとかヤバすぎるだろw OAuth以外にもいろいろ悪用できそうだ。まだ動いてるし。

2014-05-07 11:53:12
Teppei Sato @teppeis

covert redirectは煽り過ぎかな。発表者が名前付け&サイト準備とかマーケティングうまかったのと、heartbleedの直後でメディアが乗りやすかっただけかと。

2014-05-07 12:30:37
Yosuke HASEGAWA @hasegawayosuke

オープンリダイレクタ、それ自体は大した問題じゃないという認識のもと、ほんとどこにでも存在してるので、URLを確認するときに自サイトか否か、みたいな判定で重要な処理があると、oauthだったりXHRだったりその他諸々だったりとの組み合わせで明確に脆弱になる。

2014-05-07 13:24:49
Tatsuhiko Miyagawa @miyagawa

@kazuho consumerがamazonとかESPN, Facebook自体みたいにリダイレクタを持っちゃってるドメインなのが問題ですかね

2014-05-07 13:31:03
Tatsuhiko Miyagawa @miyagawa

@kazuho is this a documented behavior that browsers carry over the URI fragment in redirects? that might be interesting...

2014-05-07 13:48:00
Tatsuhiko Miyagawa @miyagawa

would be interesting to implement such "open redirector" using META refresh rather than 301/2 redirects, to avoid keeping URI fragments

2014-05-07 13:59:44
Tatsuhiko Miyagawa @miyagawa

(t.co uses META refresh when User-Agent is that of web browsers, instead of 301)

2014-05-07 14:01:08
nov matake @nov

OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp http://t.co/pwWNFF7Unn

2014-05-07 16:57:05
Tatsuhiko Miyagawa @miyagawa

@nov browserがtamper云々がよくわからないんですが、URIフラグメントをリダイレクト時に引き継ぐのはブラウザの通常の挙動ではないでしょうか?

2014-05-07 17:38:13
Tatsuhiko Miyagawa @miyagawa

@nov response_type=codeに関しては、書かれてるとおりですが、implicit flowでtokenの場合、さっきのURIフラグメントが引き継がれるのとあわせて、成立してしまいませんかね?

2014-05-07 17:52:09
nov matake @nov

あぁ、最近のbrowserはfragmentをredirect時に引き回すから、token漏れる、か...

2014-05-07 17:52:55
Tatsuhiko Miyagawa @miyagawa

@nov John Bradley氏にもtweetしたんですがうまく伝わったかどうか。。

2014-05-07 17:54:55
Tatsuhiko Miyagawa @miyagawa

Covert Redirect Vulnerability with OAuth 2 - tl;dr Covert Redirect Vulnerability is a real, if not new,... http://t.co/GznutfRJW9

2014-05-07 18:16:02
Teppei Sato @teppeis

John Bradleyはブラウザはリダイレクトでフラグメントを送信しないって言ってるけど、Chrome/Firefoxは送信するよね。だからImplicit flowではやっぱりアクセストークン漏れる気がするけど。

2014-05-07 18:27:11
Teppei Sato @teppeis

訂正記事 / “Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp” http://t.co/PGq9D84TST

2014-05-07 21:20:21

コメント

コメントがまだありません。感想を最初に伝えてみませんか?