漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-034125
漏洞标题:新浪微博OAuth应用授权强制登录功能可被绕过
相关厂商:新浪
漏洞作者: 落甜橙
提交时间:2013-08-12 12:19
修复时间:2013-09-26 12:20
公开时间:2013-09-26 12:20
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-12: 细节已通知厂商并且等待厂商处理中
2013-08-12: 厂商已经确认,细节仅向厂商公开
2013-08-22: 细节向核心白帽子及相关领域专家公开
2013-09-01: 细节向普通白帽子公开
2013-09-11: 细节向实习白帽子公开
2013-09-26: 细节向公众公开
简要描述:
新浪微博的“应用授权”功能允许应用在执行危险操作时强制要求用户通过微博帐号密码登录,而不是“应用授权”功能自动读取当前用户的新浪微博登录状态,这可以防止电脑被他人操作带来的危险。但“强制登录”功能可以通过修改授权页面的地址而被轻松绕过。
详细说明:
新浪微博的“应用授权”功能允许应用在执行危险操作时强制要求用户通过微博帐号密码登录,而不是“应用授权”功能自动读取当前用户的新浪微博登录状态,这可以防止电脑被他人操作带来的危险。但“强制登录”功能可以通过修改授权页面的地址而被轻松绕过。
例如,点击新浪SAE平台(http://sae.sina.com.cn/)页面上方的登录按钮时,会转到新浪微博的“应用授权”页面。由于用户登录后可以直接修改SAE平台上应用的重要信息,所以在这里SAE平台使用了强制登录功能,即“应用授权”页面不会自动读取当前用户的登录信息(如果有),而是强制要求用户输入帐号和密码。
这里包含了“强制登录”功能的授权页面地址为:https://api.weibo.com/oauth2/authorize?client_id=2857799177&redirect_uri=http%3A%2F%2Fsae.sina.com.cn%2Fssl%2F%3Fm%3Dsso%26a%3Dweibo_callback%26sccb%3Dhttp%253A%252F%252Fsae.sina.com.cn%252F&response_type=code&forcelogin=true,位于最后的“forcelogin=true”就是用来控制“强制登录”功能,删除这个代码再按回车,应用授权就会直接直接读取用户登录信息并通过授权(如果该电脑已经成功的登陆过微博并选择了“下次自动登录”,而很多用户都会勾选)
漏洞证明:
现在电脑上登录微博并选择“下次自动登录”,然后打开“https://api.weibo.com/oauth2/authorize?client_id=2857799177&redirect_uri=http%3A%2F%2Fsae.sina.com.cn%2Fssl%2F%3Fm%3Dsso%26a%3Dweibo_callback%26sccb%3Dhttp%253A%252F%252Fsae.sina.com.cn%252F&response_type=code&forcelogin=true”,可以看到页面依旧要求输入帐号和密码;将“&forcelogin=true”删除并重新加载页面,会发现已经登录上了。
1,正常登录需要强制输入用户名和密码。
2,删掉后则直接跳转(微博登录的情况下)
修复方案:
将强制登录的代码做加密处理。
版权声明:转载请注明来源 落甜橙@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2013-08-12 13:29
厂商回复:
感谢关注新浪安全,已安排人员进行修复。
最新状态:
暂无