Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Kritické zranitelnosti v Instagram OAuth

Autor: .cCuMiNn.   
2.5.2013

Známý facebookový hacker Nir Goldshlager, který v posledních měsících zveřejnil hned několik kritických zranitelností v implementaci Facebook OAuth, přichází nyní s dalším oznámením. To se tentokrát týká bezpečnostních chyb v Instagram OAuth, které útočníkovi umožňují získat kontrolu nad jakýmkoliv účtem.

Útočník se díky zranitelnostem může dostat například k soukromým fotografiím nebo komentářům, které může nejenom prohlížet, ale i mazat, nebo přidávat.

Podle Nira prý existují dva způsoby, jak toho dosáhnout. První způsob umožňuje únos účtu přímo přes Instgram OAuth, kdežto druhý k únosu využívá Facebook OAuth dialog.

Za vším prý stojí nedostačně ošetřený parametr redirect_uri. Pokud se k doméně uvedené v tomto parametru přidá další posfix, může dojít k přesměrování autorizačního tokenu na doménu vlastněnou útočníkem.

V odkazovaném článku najdou zájemci ukázkový PoC a demonstrační video.


Zdroj: http://thehackernews.com/2013/05/hacking-instagram-accounts-…


Social Bookmarking

     





Hodnocení/Hlasovalo: 0/0

1  2  3  4  5    
(známkování jako ve škole)