Your SlideShare is downloading. ×
SBC 2012 - Lỗ hổng trong cài đặt giao thức OAuth và nguy cơ với người dùng (Nguyễn Thành Long)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

SBC 2012 - Lỗ hổng trong cài đặt giao thức OAuth và nguy cơ với người dùng (Nguyễn Thành Long)

989

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
989
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
53
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 1 2NHỮNG LỖ HỔNG TRONG CÀI ĐẶT GIAO THỨC OPEN AUTHORIZATION VÀ NGUY CƠ VỚI NGƯỜI DÙNG Security Team | VTC Intecom
  • 2. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 2 Who am I? - Thành viên nhóm ATTT – VTC Intecom - Penetration tester 2 - Chuyên viên an ninh thanh toán trực tuyếnOpen Authoriztion Vulnerability 1
  • 3. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 3 Nội dung 2Open Authoriztion Vulnerability 2
  • 4. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 4 2Open Authoriztion Vulnerability 3
  • 5. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 5 Giới thiệu 2 Open Authorization  Version 1: 4/2010  Version 2: 10/2012Open Authoriztion Vulnerability 4
  • 6. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 6 2Open Authoriztion Vulnerability 5
  • 7. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 7 2Open Authoriztion Vulnerability 6
  • 8. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Luồng8 xử lý giao thức Oauth (2) Xác thực và ủy quyền Chủ sở hữu 2 (3) Mã ủy quyền Máy chủ (1)ID + URI (3) ủy quyền (4) Mã ủy quyền (5) Access Code Ứng dụng bên thứ 3 (6) Access Code Máy chủ chứa tài nguyên (7) DataOpen Authoriztion Vulnerability 7
  • 9. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 9 2Open Authoriztion Vulnerability 8
  • 10. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Lỗi chuyển hướng không an toàn 10 Sso.sv/auth?id=20&url= app.vn 2 SSO Server User App.vnOpen Authoriztion Vulnerability 9
  • 11. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Lỗi chuyển hướng không an toàn 11 evil.site Sso.sv/auth?id=20&url= app.vn 2 SSO Server www.evil.siteOpen Authoriztion Vulnerability 10
  • 12. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Lỗi quản lý phiên 12 - Sau khi người đăng nhập tại SSO server xong: Set-Cookie: SSOID=Nekno; path=/; Domain=.sso.sv; HttpOnly 2 - Tại ứng dụng bên thứ 3, Cookie của người dùng không được làm mới sau khi đăng nhập - Chỉ sử dụng phiên truy cập người dùngOpen Authoriztion Vulnerability 11
  • 13. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 13 Mô tả nguy cơ User Sso.sv/login?id=20&url=evil.site 2 Attacker SSO Server Đăng nhập và ủy quyềnapp.vn/login?code=abcd Evil.site Đánh cắp mã ủy quyền App.vnOpen Authoriztion Vulnerability 12
  • 14. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 14 2Open Authoriztion Vulnerability 13
  • 15. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Giải pháp khắc phục 15  Các ứng dụng đăng ký URL cố định với máy chủ ủy quyền 2  Thiết lập cookie mới cho người dùng sau khi xác thực thành côngOpen Authoriztion Vulnerability 14
  • 16. SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 16 2 Xin cảm ơn!

×