Ben Brian Smith-Sweeney, Two Sigma'da bilgi güvenliği riskine başkanlık ediyor 2023'te Black Hat'te bir konuşma yaptı İki yıl önce, 2021'de yanlışlıkla Google'ın OAuth'unda yeni bir güvenlik açığı keşfetmişti Saldırı vektörünün Google ile sınırlı olmadığını vurguluyor

@twosigma @BlackHatEvents gönderdiğim vektörle ilgisi yok, aynı zamanda OAuth olması dışında Birinci taraf bir Google hizmetinden başka bir birinci taraf Google hizmetine de olsa, açık izin gerektiren daha kolaydır İşin püf noktası, Google değil Google'ın kimliğine bürünen ve başarılı olan bir üçüncü taraftır

"Kullanıcılarınıza [üçüncü taraf bir uygulama için yetkilendirme] aramalarını söylerseniz, onu bulamayacaklar"

@BlackHatEvents Google'ın OAuth'u üzerine yaptığı araştırmada garip bir dize fark eder kodunu çözer ve belgeleri arar Google'ın yetkilendirme sunucusunun yetkilendirme kodunu döndürmesi gerektiğini söylüyor *tarayıcının başlık çubuğunda*

@twosigma "Kaçınızın güvenli bir mesaj iletme veya kimlik bilgisi depolama sistemi geliştirmeye dahil olduğunu bilmiyorum" "Hiç düşündün mü bilmiyorum, bunu nereye koymamız gerektiğini biliyor musun? tarayıcı başlık çubuğuna koy" "Geriye dönüp baktığımda şaka yapmak benim için kolay"

@BlackHatEvents inanmak benim için zordu ve gidip kendim baktım

gerçekti

Kodu çözülen dizenin izini sürdükten sonra, ona bir liste sunucusunda da başvurulduğunu görür Gönderi, söz konusu OAuth spesifikasyonu olan RFC 8252 de dahil olmak üzere birçok OAuth spesifikasyonunun ortak yazarı tarafından yazılmıştır Söyleyecek güzel bir şeyi yok

Bu vektör, yayınladığımla hemen hemen aynı dayanıklılığa sahip Yine, yetkilendirme katmanında, OAuth belirteçleri kimlik doğrulama sonrası O da hesabın ele geçirilmesi durumunda şifre sıfırlamanın hiçbir etkisinin olmadığını belirtiyor geleneksel kurtarma mekanizmaları da genel olarak

@BlackHatEvents Google Workspaces'in daha ayrıntılı API mekanizmalarında bile erişim kontrollerinin birinci taraf Google uygulamalarını etkilemediğini belirtiyor Birinci taraf Google Apps, Google dışı uygulamasının göründüğü yerdir

Burası benim de indiğim yer

@BlackHatEvents benzer şekilde OAuth belirteçleri konusunda uyarıyor "Bu şeyler sonsuza kadar yaşar"

Onun sonunu seviyorum Two Sigma'da öğrenmeye ve çalışmaya değer verdiğimizi söylüyor Sonra şöyle diyor: Bana bir şey sorarsan ya da bana bir şey söylersen, ikimizin de bir şey öğrendiği yerde, sana iki sigma yağması veririm Şaşırtıcı olmayan bir şekilde, bu bir iskambil destesi