この広告は、90日以上更新していないブログに表示しています。

2011-07-01

夏到来！ OAuth 2.0 をログインに使うときにはまりそうな罠

• 最近同じパターンを何個か見たので
• まずは Facebook によるログインをサポートしてる nasdaq.com で実証

• 被害者のアカウントでログインします
  • http://community.nasdaq.com/manage-connections.aspx
    • Email Address: nasdaq.victim@yahoo.com
    • Password: hogehoge

• その状態で http://ido.nu/ayaya/nasdaq.html を踏む
  • Facebook の知らないアカウントとつながった（Firefox と Chrome のみ確認）

• とりあえずログアウト
  • http://community.nasdaq.com/common/templates/logout.aspx?turl=http%3a%2f%2fcommunity.nasdaq.com%2fmanage-connections.aspx

• 攻撃者として Facebook でログインしてみます
  • https://community-login.nasdaq.com/facebook/connect_start?ext_perm=publish_stream,email,offline_access&token_url=https%3a%2f%2fcommunity.nasdaq.com%3a443%2frpx.aspx%3fturl%3d%2fmanage-connections.aspx
    • メール: nasdaq.cracker@yahoo.com
    • パスワード: hogehoge

• 普通に入れる
  • 試した後は解除してくださいね

• 暑いので解説は後日
  • とりあえずこういうケースは state パラメータか、redirect_uri に何か付けないとダメです