注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

醉雨他乡游的博客

—— 记录生活中的点点滴滴, 开心与伤心, 回忆与憧憬, 成功与失败, 酸甜苦辣

 
 
 

日志

 
 

【转载】Continúan los problemas: OAuth y OpenID también son vulnerables  

2015-05-20 22:39:06|  分类: 漏洞 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Un nuevo fallo de seguridad amenaza Internet. En este caso se trata de Covert Redirect y ha sido descubierto por un estudiante chino en Singapur. Las empresas tienen en sus manos solucionar este problema.


Continúan los problemas: OAuth y OpenID también son vulnerables - whitehat - 白帽子安全漏洞
 

Cuando aún resuenan los ecos de Heartbleed y el terremoto que sacudió la red, nos acabamos de enterar que otra brecha de seguridad compromete Internet. En este caso se trata de un fallo que afecta a páginas como Google, Facebook, Microsoft, Linkedin, Yahoo, PayPal, GitHub o Mail.ru que usan estas herramientas de código abierto para autenticar a sus usuarios.


Este error permitiría a un atacante haga creer a un usuario que una nueva ventana que redirija a Facebook es segura cuando en realidad no lo es. Hasta aquí la técnica se parece al phishing pero lo que hace lo hace diferente es que Covert Redirect, que así se llama el nuevo exploit, usa el dominio real pero hace un bypass del servidor para conseguir la info. Lo mejor que podemos hacer cuando estemos navegando y pulsemos en un sitio que abre un pop up que nos pide logearnos en Facebook o Google es cerrar esa ventana para evitar que nos redirija a sitios sospechosos.


Wang Jing, estudiante de doctorado en la Universidad Técnica de Nanyang (Singapur), es quien ha descubierto la vulnerabilidad y le ha puesto nombre. El problema, según Jing, es que ni el proveedor ni la compa?ía quieren responsabilizarse de esta brecha ya que costaría mucho tiempo y dinero. Seguramente, ahora que se conoce el caso, las compa?ías se pondrán manos a la obra.





Artículos Relacionados:

http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/

http://techxplore.com/news/2014-05-math-student-oauth-openid-vulnerability.html

http://tetraph.com/covert_redirect/oauth2_openid_covert_redirect.html

http://www.inzeed.com/kaleidoscope/covert-redirect/openid-oauth-2.0

http://www.foxnews.com/tech/2014/05/05/facebook-google-users-threatened-by-new-security-flaw/

http://tetraph.com/covert_redirect/

http://ittechnology.lofter.com/post/1cfbf60d_705ddcc

http://securitypost.tumblr.com/post/119432466382/itinfotech-continuan-los-problemas-oauth-y

http://itinfotech.tumblr.com/post/119432448171/continuan-los-problemas-oauth-y-openid-tambien

http://whitehatpost.blog.163.com/blog/static/242232054201542055824221/

http://japanbroad.blogspot.jp/2015/05/continuan-los-problemas-oauth-y-openid.html

http://russiapost.blogspot.ru/2015/05/continuan-los-problemas-oauth-y-openid.html

http://frenchairing.blogspot.fr/2015/05/continuan-los-problemas-oauth-y-openid.html

https://www.facebook.com/computersecurities/posts/379079548945504

http://germancast.blogspot.de/2015/05/continuan-los-problemas-oauth-y-openid.html

http://itsecurity.lofter.com/post/1cfbf9e7_7060640

https://www.facebook.com/pcwebsecurities/posts/692409684238285?

https://inzeed.wordpress.com/2014/07/11/continuan-los-problemas-oauth-y-openid-tambien-son-vulnerables-covert-redirect/





  评论这张
 
阅读(8)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017