隐蔽重定向漏洞
隐蔽重定向漏洞
条目
历史版本
隐蔽重定向漏洞(英语:Covert Redirect),是一种影响单点登录(Single sign-on)的安全漏洞,尤其是对OAuth 2.0和OpenID协议的实现产生影响。这一漏洞由新加坡南洋理工大学物理和数学科学学院博士生王晶(Wang Jing)发现并命名。隐蔽重定向漏洞允许攻击者利用第三方网站的回跳域名劫持到恶意网站,从而进行钓鱼式攻击,这种攻击方式的隐蔽性较高,因为它使用真实的知名网站地址作为诱饵。
安全漏洞
2014年5月,隐蔽重定向漏洞被发现,其OSVDB编号为106567,SCIP编号为vuldb.13185,中国国家信息安全漏洞共享平台编号为CNVD-2014-02785,Bugtraq ID为67196。该漏洞首先由CNET报道,随后引起了广泛关注和讨论。多家媒体如雅虎、福克斯新闻、黑客新闻、凤凰网、人民网等报道了该漏洞的影响,而Mashable等媒体则认为该漏洞是个旧漏洞。最终的主流结论是,隐蔽重定向是一个值得注意的漏洞,虽然它达不到HeartBleed的级别,但仍然是对授权应用权限的一个提醒。
入侵技术
攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。这种方式使得攻击更加隐蔽,因为用户可能会认为登录窗口是可信的。