Populární témata
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Toto je Brian Smith-Sweeney, který vede InfoSec Risk ve společnosti Two Sigma
V roce 2023 měl přednášku ve společnosti Black Hat
O dva roky dříve, v roce 2021, omylem objevil novou zranitelnost v OAuth od Googlu
Zdůrazňuje, že vektor útoku není omezen na Google
@twosigma @BlackHatEvents to nesouvisí s vektorem, který jsem zveřejnil, kromě toho, že je to také OAUTH
Je to jednodušší, vyžaduje to výslovný souhlas, i když od služby Google první strany jiné službě Google první strany
Vtip je v tom, že to není Google
Je to třetí strana, která se vydává za Google a úspěšně se jí daří
"Pokud svým uživatelům řeknete, aby hledali [autorizaci k aplikaci třetí strany], nenajdou ji."
@BlackHatEvents si při svém výzkumu OAuth od Googlu všimne jakéhosi podivného řetězce
ten ji dekóduje a vyhledá v dokumentaci
Říká, že autorizační server Google by měl vrátit autorizační kód
*v záhlaví prohlížeče*
@twosigma "Nevím, kolik z vás se někdy podílelo na vývoji bezpečného systému pro předávání zpráv nebo ukládání přihlašovacích údajů"
"Nevím, jestli jste někdy přemýšleli, víte, kam bychom to měli dát? vložte jej do záhlaví prohlížeče"
"Je pro mě snadné udělat vtip s odstupem času"
@BlackHatEvents bylo pro mě těžké tomu uvěřit a sám jsem se na to šel podívat
bylo to skutečné
Poté, co vystopuje dekódovaný řetězec, najde na něj také odkazovaný v listservu
příspěvek je od spoluautora mnoha specifikací OAuth, včetně RFC 8252, dotyčné specifikace OAuth
nemá nic hezkého, co by řekl
Tento vektor má v podstatě stejnou odolnost jako ten, který jsem zveřejnil
Opět platí, že v autorizační vrstvě jsou tokeny OAuth po autentizaci
Také poznamenává, že v případě ohrožení účtu nemá resetování hesla vůbec žádný účinek
Ani tradiční mechanismy vymáhání obecně neplatí
@BlackHatEvents ani v podrobnějších mechanismech API Google Workspaces poznamenává, že řízení přístupu nemá vliv na Google Apps první strany
First-Party Google Apps je místo, kde se zobrazuje jeho aplikace, která není od Googlu
To je v podstatě místo, kde jsem také přistál
@BlackHatEvents podobně varuje před OAuth tokeny
"Ty věci žijí navždy"
Líbí se mi, jak končí
Říká, že tady ve Two Sigma si ceníme učení a studia
Pak řekne: "Když se mě na něco zeptáte nebo mi něco řeknete, kde se kdokoli z nás něco naučí, dám vám pár dvou sigma lupů."
Není překvapením, že je to balíček karet
7,28K
Top
Hodnocení
Oblíbené