结合YS业务分析使用oauth协议的风险

结合YS业务分析oauth协议风险

问题描述:

         YS 使用QQ互联的openAPI实现QQ登录YS的功能,使用该功能需要在腾讯注册登录时的回调地址,根据oauth协议,用户的code或者access_token将被发送到这个回调地址,而目前出于域名变动等各种因素考虑,目前使用的是通配符域名进行注册,这可能存在用户的access_token被盗取的风险。一旦获取用户QQ的access_token就可以通过openAPI获取此QQ的相关信息。关于oauth协议和开发细节请参考:

http://wiki.connect.qq.com/

测试步骤:

1、  在YS登录页选择“QQ登录”。

2、  在QQ登录页面输入用户名和密码进行认证。

3、  使用burp拦截http://graph.qq.com/oauth2.0/authorize接口请求,将response_type参数的值从code改为token,将回调地址二级域名从test3.YS.com改为bbs.YS.com,最后再记住该请求中的client_id的值(即申请QQ登录时腾讯分配的appid),如下图所示:

4、  可以看到腾讯服务器返回了用户的access_token,并携带该token重定向到了YS BBS,如下图:

5、  此时,如果指定跳转的YS BBS URL存在XSS漏洞,当漏洞被触发时,JS代码可以读取URL参数值,那么通过BBS就可能大量获取用户access_token,从而导致用户信息泄漏。

问题扩展:

         该漏洞的关键还是需要跳转的二级域名存在XSS漏洞,就目前YS业务来讲,BBS的安全没有专人负责,并且使用的是第三方站点框架,容易出现公开的漏洞,如果不及时升级维护就可能出现上述的攻击。

时间: 2024-10-14 08:43:32

结合YS业务分析使用oauth协议的风险的相关文章

集成基于OAuth协议的单点登陆

在之前的一篇文章中,我们已经介绍了如何为一个应用添加对CAS协议的支持,进而使得我们的应用可以与所有基于CAS协议的单点登陆服务通讯.但是现在的单点登陆服务实际上并不全是通过实现CAS协议来完成的.例如Google就使用OAuth协议来管理它的帐户. 相较于CAS协议,OAuth协议不仅仅可以完成对用户凭证的验证,更可以提供权限管理的功能.在这些权限管理功能的支持下,一个应用甚至可以访问其它使用相同OAuth服务的应用的数据,从而完成应用间的交互. OAuth集成示例 现在我们就来看一个通过OA

oauth协议

微博 : 新浪 腾讯 OAuth 新浪微博   APP开发 步骤:1.注册新浪开发者账号 获取以下信息 client_id  123456  标示应用身份的  唯一的  有的也叫App Key secret  秘钥 xxxxyyyy     加密用的 --------------------------------------------以新浪微博为例 解析OAuth协议 1.构建用户登录URL程序要引导用户登录(新浪微博账号登录),在新浪微博提供的URLURL上要加几个参数 client_id

由微服务,领域事件,分布式事件谈“业务分析三维度理论”的实践

今天读了在微服务中使用领域事件 这篇文章,通过分布式,订单系统直接将事件推送给订阅此事件的账户系统,然后账户系统再处理,整个系统设计很好. 不过,我觉得所谓微服务的分布式事件,从抽象概念上还是弱了点,不如Actor模型,应该将事件抽象成消息,消息包括命令,事件,或者其它无关紧要的东西.每一个Actor接收场景中的消息,或者产生消息,或者转发消息:消息如何处理,取决于Actor的内置规则. 所以,真实世界的模型是有很多场景,在某个场景中有些Actor,Actor相互交互,发生和改变什么东西.场景中

协议分析 - DHCP协议解码详解

协议分析 - DHCP协议解码详解 [DHCP协议简介] DHCP,全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议. DHCP使用客户端/服务器模式,请求配置信息的计算机叫做DHCP客户端,而提供信息的叫做DHCP的服务器.DHCP为客户端分配地址的方法有三种:手工配置.自动配置.动态配置. DHCP最重要的功能就是动态分配

聊天室业务分析

1. 服务器端和客户端通信设计 上图中client1 和 server 描述通信过程,client2描述对其他的客户端,通过广播进行消息通信. client1向server发起连接请求 server接受client的连接 client1输入登陆用户名 server返回欢迎语 server通过广播告诉其他在线的用户,client1已登陆 client1发送聊天信息 server返回聊天信息(可省略) server通过广播告诉其他在线的用户,client1的聊天消息 client1关闭连接,退出登陆

Java高并发秒杀API之业务分析与DAO层

课程介绍 高并发和秒杀都是当今的热门词汇,如何使用Java框架实现高并发秒杀API是该系列课程要研究的内容.秒杀系列课程分为四门,本门课程是第一门,主要对秒杀业务进行分析设计,以及DAO层的实现.课程中使用了流行的框架组合SpringMVC+Spring+MyBatis,还等什么,赶快来加入吧! 第1章 课程介绍 本章介绍秒杀系统的技术内容,以及系统演示.并介绍不同程度的学员可以学到什么内容. 第2章 梳理所有技术和搭建工程 本章首先介绍秒杀系统所用框架和技术点,然后介绍如何基于maven搭建项

七步掌握业务分析

第1章 清晰理解业务分析概述什么是业务分析?谁会成为业务分析大师?重要的业务分析术语及概念业务分析师认证IIBA的BABOK本章要点小结第2章 了解你的听众概述与你的干系人建立信任关系业务分析师与谁一起工作?平衡干系人需求如何与分散的团队工作?本章要点小结第3章 了解你的项目概述为什么机构决定投资这个项目?战略规划项目发起本章要点小结第4章 了解你的业务环境概述业务分析师如何了解企业?从业务愿景看起业务分析师如何解读业务?解读现有系统什么是业务流程?本章要点小结第5章 了解你的技术环境概述为什么

电商研发方案 —— 产品模型业务分析和设计

一.方案概述 <Craft6.cn 电子商务研发方案产品模型业务分析和设计>是颜超敏就电子商务系统研发编写的其中一份方案,分为共享版和企业版. 本文的针对产品模型中产品基本信息.产品分类.产品规格.产品属性.产品销售类型.产品定价.产品归属和产品包等业务进行 业务分析和设计,并给出ER图的设计. 对于企业版,还给出本模块详细的数据库设计和开发上的关键业务说明.另外还附带数据库设计文件(pdm)和UML源文件,客户拿到后 可以立即用于研发. 本文档目前共享版和企业版均是V1.1,将会持续更新.

OAUTH 协议介绍

OAUTH 产生背景 随着互联网的深入发展,一些互联网巨头积累了海量的用户和数据.对于平台级软件厂商来说,用户的需求多种多样,变化万千 以一己之力予以充分满足,难免疲于本命.因此将数据以接口的形式开放的众多的第三方开发者,便成了必然的趋势.第三方 开发者经过二次开发,满足一小部分用户的独特需求,即能够是自己获取利益,也能够让数据流动起来,在大平台周围形成一个 良性的生态环境能够,最终达到用户,平台商,第三方开发者共赢,在这样的背景下就诞生了OAUTH协议. OAUTH介绍 OAUTH 协议旨在为