WooYun.org

简单描述下漏洞的背景
1、oauth2.0目前国内大部分互联网公司也都已经应用了，但是并没有严格按照标准去执行，导致在第三方应用接入或者第三方账号共享上存在一些问题
2、Implicit Flow这种授权模式之前存在的一些问题在wooyun上也报过，同时认为Authorization Code Flow这种相对安全的授权模式不存在问题，但是从今天知道创宇发表的内容和实际测试情况来看国内互联网公司在实现上还是有一定的缺陷，下面会有详细的描述优酷账号是如何被劫持的。
模拟劫持过程：
1、准备一个新的优酷账号，没有绑定任何网站，等下就劫持这个账号，看下图：

2、准备一个已经登陆的人人网账号和另外一个优酷账号，为了方便测试在同一浏览器中开发，看下图：

3、在第2步中的浏览器中设置代理到Burp Suite中，同时开启拦截模式，然后在第2步中的优酷页面中进入到优酷账号->基本设置->绑定网站中，点击人人网后面的“立即绑定”
4、这个时候在Burp Suite中单步forward，当到如下图的界面中停止forward，同时复制出这一步的URL，为

http://i.youku.com/partner_renrenOauthCallback_wintype_?code=nOxfokUeUu42WuKlYz1hJOT4xWPimrad

这一步很关键，由于这个URL后面的code为OAuth2中的Authorization Code Flow授权模式返回的Authorization Code，优酷网拿到这个code后才可以换取能够访问人人网账号的access token。并且这一步的code为一次性的，所以避免被返回到优酷使用。

5、把第4步中复制出来的URL，放到第1步我们要被劫持的优酷账号浏览器中访问。效果如下图

6、至此整个攻击完成，我们刷新看看第1步中那个优酷账号的绑定网站页面，已经绑定了一个人人网账号

可以看到由于缺乏对整个过程的有效检验，可以通过与目标交互的方式攻击特定目标的账号。