2013-06-22 12:57:03
O Iνδός ερευνητής ασφάλειας Prakhar Prasad ανακάλυψε μια ευπάθεια ανοιχτής ανακατεύθυνσης (Open Redirect) στο Quora, η οποία επιτρέπει... την παραβίαση λογαριασμών του Facebook.
Το Quora είναι μια social υπηρεσία με σκοπό την ανταλλαγή γνώσεων, όπου οι χρήστες δημιουργούν ερωτήσεις και λαμβάνουν απαντήσεις από την κοινότητα.
Το Quora επιτρέπει στους χρήστες να εγγραφούν στην υπηρεσία, μέσω του λογαριασμού τους στο Facebook. Κατά την εγγραφή ο ερευνητής παρατήρησε ότι η ιστοσελίδα είχε το δικαίωμα να λάβει το διακριτικό πρόσβασης (access token) από τοOAuth του facebook, το οποίο και υπέκλεψε αξιοποιώντας ευπάθεια ανοικτής ανακατεύθυνσης.
Με την χρήση του access token, ο ερευνητής μπορούσε να αποκτήσει πρόσβαση καθώς και τα πλήρη δικαιώματα σε οποιοδήποτε λογαριασμό του Facebook.
Ο ερευνητής ενημέρωσε το Quora για την ευπάθεια, η οποία επιδιορθώθηκε άμεσα.
nooz.gr
Το Quora είναι μια social υπηρεσία με σκοπό την ανταλλαγή γνώσεων, όπου οι χρήστες δημιουργούν ερωτήσεις και λαμβάνουν απαντήσεις από την κοινότητα.
Το Quora επιτρέπει στους χρήστες να εγγραφούν στην υπηρεσία, μέσω του λογαριασμού τους στο Facebook. Κατά την εγγραφή ο ερευνητής παρατήρησε ότι η ιστοσελίδα είχε το δικαίωμα να λάβει το διακριτικό πρόσβασης (access token) από τοOAuth του facebook, το οποίο και υπέκλεψε αξιοποιώντας ευπάθεια ανοικτής ανακατεύθυνσης.
Με την χρήση του access token, ο ερευνητής μπορούσε να αποκτήσει πρόσβαση καθώς και τα πλήρη δικαιώματα σε οποιοδήποτε λογαριασμό του Facebook.
Ο ερευνητής ενημέρωσε το Quora για την ευπάθεια, η οποία επιδιορθώθηκε άμεσα.
nooz.gr
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΠΡΟΗΓΟΥΜΕΝΟ ΑΡΘΡΟ
Επισκέπτες από όλο τον κόσμο στα Μάταλα - Άνοιξε η αυλαία του φεστιβάλ
ΕΠΟΜΕΝΟ ΑΡΘΡΟ
H συνταγή της ημέρας: Γεμιστά κοχύλια με μείγμα τυριών
ΣΧΟΛΙΑΣΤΕ
