zh %E9%9A%B1%E8%94%BD%E9%87%8D%E5%AE%9A%E5%90%91%E6%BC%8F%E6%B4%9E

隱蔽重定向（英語：Covert Redirect）^[1]，是關於單點登錄（Single sign-on）的安全漏洞。因其對OAuth和OpenID的影響而為人所知^[2]。由新加坡南洋理工大學物理和數學科學學院博士生王晶（Wang Jing）發現並命名^[3]。

隱蔽重定向的一個重要應用是进行钓鱼式攻击^[4]，別的網站釣魚是用假的網站，而隱蔽重定向卻是用真的知名網站進行釣魚。這是一種完美釣魚方式^[5]。

安全漏洞

2014年5月，繼OpenSSL漏洞後，開源安全軟件再曝安全漏洞。新加坡南洋理工大學研究人員王晶發現，OAuth2.0和OpenID授權接口的網站存隱蔽重定向漏洞、英文名為“Covert Redirect”。該漏洞OSVDB編號106567^[6]。SCIP編號vuldb.13185^[7]。中国國家信息安全漏洞共享平臺編號CNVD-2014-02785^[8]。Bugtraq ID是67196^[9]。

該漏洞首先由CNET報道^[10]，並由此引起廣泛關註和大量討論。雅虎，福克斯新聞，黑客新聞，鳳凰網，人民網等媒體認為該漏洞影響很大^[11]^[12]^[13]^[14]^[15]^[16]^[17]。攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息。而Mashable等則認為該漏洞是個舊漏洞^[18]。

最後的主流結論是，隱蔽重定向是一個值得註意的漏洞。該漏洞達不到HeartBleed的級別，但仍然是對授權應用權限的一個提醒^[19]^[20]。

OAuth和OpenID也分別對此漏洞進行了說明和建議^[21]^[22]。

入侵技術

攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息^[23]。

漏洞危害

黑客可利用漏洞給釣魚網站（phishing）“變裝”，用知名大型網站鏈接引誘用戶登錄釣魚網站，一旦用戶訪問釣魚網站並登錄授權，黑客即可讀取其在網站上存儲的私密信息^[2]。

騰訊QQ、新浪微博、阿里巴巴淘寶、支付寶、搜狐網、網易、人人網、開心網、亞馬遜、微軟Live、WordPress、eBay、PayPal、Facebook、Google、Yahoo、LinkedIn、VK.com、Mail.Ru、Odnoklassniki.ru、GitHub等大量知名網站受影響^[2]。

鑒於OAuth和OpenID被廣泛用於各大公司——如微軟、Facebook、Google、以及LinkedIn——Wang表示他已經向這些公司已經了匯報。Wang聲稱，微軟已經給出了答復，調查並證實該問題出在第三方系統，而不是該公司的自有站點。Facebook也表示，“短期內仍無法完成完成這兩個問題的修復工作，只得迫使每個應用程序平臺采用白名單”。至於Google，該公司正在追蹤OpenID的問題；而LinkedIn則聲稱它已經在在博客中說明這一問題^[4]。

其實漏洞不是出現在OAuth這個協議本身，這個協議本身是沒有問題的，之所以存在問題是因為各個廠商沒有嚴格參照官方文檔，只是實現了简版。問題的原因在於OAuth的提供方提供OAuth授權過程中沒有對回調的URL進行校驗，從而導致可以被賦值為非原定的回調URL，就可以導致跳轉、XSS等問題，甚至在對回調URL進行了校驗的情況可以被繞過^[23]。

漏洞影響

通過對中國部分提供OAuth 2.0的網站進行測試和調查，發現均不同程度的存在以上的問題。

OAuth提供方	回調URL校驗	可利用第三方應用漏洞	校驗繞過
新浪微博	是	是	是（已修復）
百度	是	否	未測試
騰訊	是	是	（已修復）
360	是	未測試	未測試
開心網	否	是
人人網	是	是	未測試
淘寶網	是	是	未測試
天涯	否	是
搜狐	否	是
網易微博	否	是

從測試結果可以看出，除了百度繞過未進行測試外，其他都存在問題，而且好幾個甚至對回調URL都沒有進行校驗，而對回調URL進行校驗了的又可以被繞過^[23]。

漏洞防範

OAuth提供方

對redirect_uri進行全路徑驗證，避免URL跳轉情況
參數state即用即毀
首次授權，強制驗證
獲取access_token，驗證App secret
回調URL進行跳轉校驗等
加強redirect_uri驗證，避免繞過^[23]

普通用戶

對於普通用戶來說，其實沒有什麼好恐慌的，這次問題的利用的前提是對構造URL的訪問，所以主要是針對URL提高警惕和識別，需要注意以下幾點：

只授權給可信的第三方應用
不要訪問不明來路的鏈接，正常的應用授權應該是通過頁面中的登录按鈕等方式進行的^[23]。

背景

OAuth是一個被廣泛應用的開放登陆協議，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的信息（如照片，視頻，聯繫人列表），而無需將用戶名和密碼提供給第三方應用。這次曝出的漏洞，可將OAuth 2.0的使用方（第三方網站）的回跳域名劫持到惡意網站去，黑客利用XSS漏洞攻擊就能隨意操作被授權的帳號，讀取用戶的隱私信息。像騰訊、新浪微博等社交網站一般對登入回調地址沒有任何限制，極易遭黑客利用^[16]。

參見

OpenID

參考文獻

^ Covert Redirect. Tetraph. May 01 2014. [2014-11-08]. （原始内容存档于2014-11-08）.
^ ^2.0 ^2.1 ^2.2 Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID. Tetraph. 5月01 2014. [2014-11-08]. （原始内容存档于2014-10-16）.
^ Wang Jing. [2014-11-08]. （原始内容存档于2014-11-08）.
^ ^4.0 ^4.1 兩款互聯網登錄系統曝出重大漏洞短期內或無法修復. 鳳凰網. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.
^ Facebook, Google Users Threatened by New Security Flaw. 雅虎. 5月02 2014. [2014-11-08]. （原始内容存档于2021-01-21）.
^ OAuth / OpenID Unspecified Application Redirect Weakness. OSVDB. 5月02 2014. ^{[永久失效連結]}
^ VulDB: OAuth/OpenID 2.0 privilege escalation. SCIP. 5月12 2014. [2014-11-08]. （原始内容存档于2016-03-15）.
^ OAuth 2.0隱蔽重定向漏洞. 國家信息安全漏洞共享平臺. 5月06 2014. （原始内容存档于2014-11-08）.
^ OAuth and OpenID Open Redirection Vulnerability. SecurityFocus. 2 May 2014 [15 November 2014]. （原始内容存档于2021-01-22）.
^ Serious security flaw in OAuth, OpenID discovered. CNET. 5月02 2014. [2014-11-08]. （原始内容存档于2015-11-02）.
^ Facebook, Google users threatened by new security flaw. 福克斯新聞. 5月05 2014. [2014-11-08]. （原始内容存档于2015-09-24）.
^ Nasty Covert Redirect Vulnerability found in OAuth and OpenID. Thehackernews. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.
^ OAuth與OpenID登錄工具曝出重大漏洞. 網易. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.
^ 兩款互聯網登錄系統曝出重大漏洞短期內或無法修復. 搜狐. 5月04 2014. [2014-11-08]. （原始内容存档于2014-11-08）.
^ OAuth和OpenID兩款登六系統再曝重大漏洞. 太平洋電腦網. 5月04 2014. （原始内容存档于2014-11-08）.
^ ^16.0 ^16.1 Oauth2.0協議曝漏洞大量社交網隱私或遭泄露. 人民網. 5月04 2014. （原始内容存档于2014-11-08）.
^ OAuth與OpenID登錄工具曝出重大漏洞. CSDN. 5月04 2014. [2014-11-08]. （原始内容存档于2015-07-21）.
^ Another Security Flaw Gets the Heartbleed Treatment, But Don't Believe the Hype. Tetraph. 3 May 2014 [10 November 2014]. （原始内容存档于2021-03-27）.
^ Covert Redirect Flaw in OAuth is Not the Next Heartbleed. Symantec. May 03 2014. [2014-11-08]. （原始内容存档于2019-06-12）.
^ 'Covert Redirect' vulnerability impacts OAuth 2.0, OpenID. SC Magazine. 2 May 2014 [10 November 2014]. （原始内容存档于2016-03-17）.
^ OAuth Security Advisory: 2014.1 "Covert Redirect". OAuth. 5月04 2014. [2014-11-08]. （原始内容存档于2015-11-21）.
^ Covert Redirect. OpenID. 5月15 2014. [2014-11-08]. （原始内容存档于2014-10-20）.
^ ^23.0 ^23.1 ^23.2 ^23.3 ^23.4 針對近期“博全球眼球OAuth漏洞”的分析與防範建議. 知道創宇. 5月06 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

外部連結

Covert Redirect （页面存档备份，存于互联网档案馆）
人民網
鳳凰網（页面存档备份，存于互联网档案馆）
搜狐網（页面存档备份，存于互联网档案馆）
網易
太平洋電腦網
CSDN （页面存档备份，存于互联网档案馆）
福克斯新聞（页面存档备份，存于互联网档案馆）
雅虎新聞（页面存档备份，存于互联网档案馆）
黑客新聞
至頂網（页面存档备份，存于互联网档案馆）
Wang Jing（王晶）（页面存档备份，存于互联网档案馆）
Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID
Serious security flaw in OAuth, OpenID discovered （页面存档备份，存于互联网档案馆）
針對近期“博全球眼球OAuth漏洞”的分析與防範建議

[1] Covert Redirect. Tetraph. May 01 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[Tetraph_CR_related_to_OAuth_and_OpenID-2] 2.0 ^2.1 ^2.2 Covert Redirect Vulnerability Related to OAuth 2.0 and OpenID. Tetraph. 5月01 2014. [2014-11-08]. （原始内容存档于2014-10-16）.

[3] Wang Jing. [2014-11-08]. （原始内容存档于2014-11-08）.

[#1-4] 4.0 ^4.1 兩款互聯網登錄系統曝出重大漏洞短期內或無法修復. 鳳凰網. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[5] Facebook, Google Users Threatened by New Security Flaw. 雅虎. 5月02 2014. [2014-11-08]. （原始内容存档于2021-01-21）.

[6] OAuth / OpenID Unspecified Application Redirect Weakness. OSVDB. 5月02 2014. ^{[永久失效連結]}

[7] VulDB: OAuth/OpenID 2.0 privilege escalation. SCIP. 5月12 2014. [2014-11-08]. （原始内容存档于2016-03-15）.

[8] OAuth 2.0隱蔽重定向漏洞. 國家信息安全漏洞共享平臺. 5月06 2014. （原始内容存档于2014-11-08）.

[securityfocus-9] OAuth and OpenID Open Redirection Vulnerability. SecurityFocus. 2 May 2014 [15 November 2014]. （原始内容存档于2021-01-22）.

[10] Serious security flaw in OAuth, OpenID discovered. CNET. 5月02 2014. [2014-11-08]. （原始内容存档于2015-11-02）.

[11] Facebook, Google users threatened by new security flaw. 福克斯新聞. 5月05 2014. [2014-11-08]. （原始内容存档于2015-09-24）.

[12] Nasty Covert Redirect Vulnerability found in OAuth and OpenID. Thehackernews. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[13] OAuth與OpenID登錄工具曝出重大漏洞. 網易. 5月03 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[14] 兩款互聯網登錄系統曝出重大漏洞短期內或無法修復. 搜狐. 5月04 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[15] OAuth和OpenID兩款登六系統再曝重大漏洞. 太平洋電腦網. 5月04 2014. （原始内容存档于2014-11-08）.

[#2-16] 16.0 ^16.1 Oauth2.0協議曝漏洞大量社交網隱私或遭泄露. 人民網. 5月04 2014. （原始内容存档于2014-11-08）.

[17] OAuth與OpenID登錄工具曝出重大漏洞. CSDN. 5月04 2014. [2014-11-08]. （原始内容存档于2015-07-21）.

[Mashable-18] Another Security Flaw Gets the Heartbleed Treatment, But Don't Believe the Hype. Tetraph. 3 May 2014 [10 November 2014]. （原始内容存档于2021-03-27）.

[19] Covert Redirect Flaw in OAuth is Not the Next Heartbleed. Symantec. May 03 2014. [2014-11-08]. （原始内容存档于2019-06-12）.

[ScMagazine-20] 'Covert Redirect' vulnerability impacts OAuth 2.0, OpenID. SC Magazine. 2 May 2014 [10 November 2014]. （原始内容存档于2016-03-17）.

[21] OAuth Security Advisory: 2014.1 "Covert Redirect". OAuth. 5月04 2014. [2014-11-08]. （原始内容存档于2015-11-21）.

[22] Covert Redirect. OpenID. 5月15 2014. [2014-11-08]. （原始内容存档于2014-10-20）.

[知道創宇博客-23] 23.0 ^23.1 ^23.2 ^23.3 ^23.4 針對近期“博全球眼球OAuth漏洞”的分析與防範建議. 知道創宇. 5月06 2014. [2014-11-08]. （原始内容存档于2014-11-08）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

隱蔽重定向漏洞