與OpenSSL一樣，OAuth(Open Authorization)作為應用廣泛的開源第三方登錄認證協(xié)議，今年也爆出了安全漏洞。在第三屆知道安全論壇上，來自新浪微博的藍色di雪球表示新浪早在今年3月就發(fā)現(xiàn)了這個漏洞，并從OAuth的發(fā)展、OAuth的調用方式、OAuth風險分析以及如何利用OAuth漏洞幾個方面展開了精彩的演講。

OAuth是什么?OAuth協(xié)議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。與以往授權方式不同，通過授權團隊可以不使用用戶名密碼，第三方就可以再某網絡獲得數據和信息。

OAuth調用方式有四種，比較常用的有兩種：Authorization Code與Implicit。藍色di雪球表示OAuth調用方式存在信息泄露、CSRF、URL回調污染以及權限認證利用的風險。其中信息泄露包含：Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授權劫持以及綁定劫持。

如何優(yōu)雅的利用OAuth漏洞?藍色di雪球表示，經用戶授權，與第三方網站綁定，并登錄賬戶后，攻擊者通過構造OAuth回調污染發(fā)送私信，實現(xiàn)釣魚誘使用戶點擊URL從而劫持用戶的應用方身份。另外，拿到Access_token可能劫持大V用戶發(fā)微博、劫持大量用戶發(fā)評論、劫持信任攻擊、刪除指定微博、刷粉、強制關注，甚至獲得商業(yè)數據。

由于被第三方廣泛應用和大量歷史遺留問題OAuth漏洞的修復在短時間內難以完成，而針對URL回調污染問題的修復，藍色di雪球建議明確風險，進行日志分析，并檢測全路徑。

最后，藍色di雪球表示未來OAuth可能存在授權濫用以及授權token被拖庫的風險。對此，他建議直接封禁上行權限，封禁應用。