谷歌 OAuth客户端库(Java版)中存在高危漏洞

最新推荐文章于 2024-08-23 07:37:13 发布
最新推荐文章于 2024-08-23 07:37:13 发布
阅读量254 收藏
点赞数
文章标签: java 安全 大数据 github linux
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511856&idx=2&sn=8af051f10bbd30805bce19d5ee116756&chksm=ea949e5adde3174c36f981c8ee950fcc91f0843043f87bf24e5070783d7c9039471df24668cb&scene=126&&sessionid=0
版权

417a89110f77c787f5f7764e2fe92ce0.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

 上个月,谷歌解决了OAuth 客户端库(Java版)中的一个高危漏洞(CVE-2021-22573),本可导致恶意人员使用受陷令牌部署任意payload。

ce4e3b707bf23943ab1b701175b36f29.png

该漏洞的CVSS评分为8.7,和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的,他为此获得5000美元的漏洞奖励。

安全公告指出,“造成该漏洞的原因是 IDToken 验证符并未验证令牌是否被正确签名。签名验证确保令牌的payload 源自合法提供商。攻击者可提供带有自定义payload 的受陷令牌。该令牌将通过对客户端的验证。”

该Java开源库构建于 Google HTTP Client Library for Java 基础之上,很可能获得支持 OAuth 授权标准的 web 上任意服务的访问令牌。谷歌在GitHub 上的项目 README 文件中提到,该库以维修模式支持,仅修复必要bug。

建议Google-oauth-jave-client 库用户更新至4月13日发布的1.33.3版本,以免遭受任何潜在风险影响。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

开源组件存在高危漏洞,可导致在谷歌 VirusTotal 执行RCE

谷歌紧急修复已遭在野利用的0day

谷歌和GitHub 联手提出新方法,提振软件供应链安全

GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构

Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问

我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞

原文链接

https://thehackernews.com/2022/05/high-severity-bug-reported-in-googles.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

eac113c77f6771de378463440721d080.png

4aa9b9a4ece5e7545060e78be0deeaf4.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9f42227dd20efca7ec622bf90342f323.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Google OAUTH + OpenID解决方案
打造高质量Blog
03-23 1万+
       在前面已经介绍过OAuth与OpenID,这两种服务,Google都实现了。我们可以通过Google OAuth服务为Google 用户的资源进行授权,如用户通过第三方软件调用Google Open API操作用户的资源时,就需要用户对第三方软件授权;通过Google OpenID服务可以打通Google与其他支持OpenID服务网站之间的用户体系。现在假如有另外一个网站,也想开放自
google+oauth+2.0+java+client+library+simple+example
Tomson Xu
10-13 6260
先看上一篇文章理解google oauth 2.0的原理 at http://blog.csdn.net/totogogo/article/details/6860966。 注意,上面这篇文章里的codes都是不使用google client library的代码。本篇
google-oauth-java-client:适用于Java的Google OAuth客户端
03-30
适用于Java的Google OAuth客户端 支持此客户端,但仅处于维护模式。 我们正在修复必要的错误并添加了必要的功能,以确保该继续满足您访问Google API的需求。 非关键问题将被解决。 如果它引起持续的问题,则可能会重新打开任何问题。 描述 Google OAuth Java客户端由Google编写,是用于OAuth 1.0a和OAuth 2.0授权标准的功能强大且易于使用的JavaJava专用的Google OAuth客户端旨在与网络上的任何OAuth服务一起使用,而不仅仅是与Google APIs一起使用。 它的。 该支持以下Java环境: Java 7(或更高本) Android 4.0(冰淇淋三明治)(或更高本) Google App引擎 有关对Google API的访问权限,请参见的。 这是一个开放源码,并是值得欢迎的。 文献资料 C
google-oauth-java-client, 面向Java的Google客户端.zip
09-18
google-oauth-java-client, 面向Java的Google客户端 面向Java客户端 图书馆维护服务。这里客户端受支持,但仅处于维护模式。 我们正在修复必要的Bug 并添加必要的特性,以确保该继续满足你的访问 Google api 。 非关键问题将被关闭。 任何问题都可能会重新打开,如果它导致
OAuth2.0 三方登录(Google登录)
java_liuyuan的博客
06-26 1458
OAuth2.0 三方登录(Google登录)
Java 7.x爆高危漏洞
08-29 116
据国外安全研究机构称,当前的Java包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。 据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可...
google oauth java_如何使用google-oauth-java-client
weixin_33093323的博客
02-16 382
对不起我搞错了!获取方法使用浏览器并返回代码Post方法使用HttpRequest,我们可以从HtppResponse获取参数因此,如果您想获取代码,只需使用浏览器并重定向到网址即可获取代码这是我如何获得access_token如果你愿意,你可以使用google-oauth-java-client来授权twitter facebook我通过javadoc解决了这个问题,它向我展示了一些例子This...
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
bc-google-oauth-client:google oauth 客户端本,稍作修改以处理 xero.com 实施的长时间运行的 oauth 会话
07-11
google oauth 客户端本,稍作修改以处理 xero.com 实施的长时间运行的 oauth 会话 如何更新部署的本 将 BlackCat 开源 maven 存储作为此结帐的同级结帐 - 在此 repo 进行更改 发出命令mvn clean deploy...
oauth2cpp:适用于C ++的OAuth2客户端
05-04
适用于C ++的OAuth2客户端 该项目提供了RFC 6749第4.1节所述的OAuth 2.0“授权代码授予”客户端。 当前本和状态 当前本是0.1。 状态为“进行” 依存关系 liboauth2cpp取决于: jasonxx( ;为简单起见,...
Google OAuth Java 客户端使用教程
最新发布
gitblog_00436的博客
08-23 421
Google OAuth Java 客户端使用教程 google-oauth-java-clientGoogle OAuth Client Library for Java项目地址:https://gitcode.com/gh_mirrors/go/google-oauth-java-client 1. 项目的目录结构及介绍 Google OAuth Java 客户端的目录结构如下: goo...
google-api-java-client:适用于Java的Google API客户端
04-27
适用于Java的Google API客户端 描述 适用于Java的Google API客户端是一种灵活,高效且功能强大的Java客户端,可用于访问网络上任何基于HTTP的API,而不仅仅是Google API。 该具有以下功能: 功能强大的,具有一致的界面。 支持任何数据模式的轻量级,高效的XML和JSON数据模型。 支持。 一组。 受支持的Java环境 Java 7(或更高本) Android 1.6(或更高本) 用法 有关使用的详细说明,请访问。 安装 适用于Java的Google API客户端易于安装。 要使用Maven,请将以下行添加到pom.xml文件: <project> <dependencies> <dependency> <groupId>com.google.api-client</groupId>
Google oauth 2.0
Tomson Xu
10-10 1万+
Oauth 2.0的官方文档的文译本:http://zhuyonghui116.blog.hexun.com.tw/67962330_d.html Oauth 2.0的文讲解参考文档:http://djb4ke.iteye.com/blog/683153 上面的参考文
Java实现Google授权登录,OAuth 2.0登录
weixin_44754681的博客
05-21 1008
后端重定向接口随意写,写前端域名也可以。后端回调地址:和前端一样即可。后端Java调用谷歌登录代码。后端获取code码进行验证。
Google OAuth 2.0授权登录并获取用户信息
weixin_59855825的博客
03-28 2986
你会发现在跳转回去的url上多了许多参数,通过url获取这些参数,这些参数的作用是通过他们获取access_token信息(参数最重要的就是code了)已获授权的 JavaScript 来源:代表从那些网址发起的Google验证登录可以被通过,可以用自己的项目地址。获取用户信息的:https://www.googleapis.com/oauth2/v2/userinfo。已获授权的重定向 URI:代表输入完成Google账号和正确的密码后跳转的路径。输入完正确的账号和密码后,这里列出主要使用的api。
Google —— OAuth2 身份验证 之 Playground
YBaog Blog
02-19 3803
所有 API 调用都必须通过 OAuth2 授权。OAuth2 可让您的 API 客户端应用访问用户的 帐号,而无需处理或存储用户的登录信息。 OAuth2 Playground 生成 OAuth2 凭据的另一种选择是使用 OAuth2 Playground。OAuth2 Playground 与 Google API 控制台配合使用,可让您手动创建 OAuth2 令牌。 OAuth2 Playg...
google oauth认证与使用youtube的api
archko的专栏
12-18 1460
最后会发现,这些是无效的,有些api在target=30已经不行了,现在谷歌的市场是要求33,所以这些都不行,没有测试过,目标机器上的Play service升级到最高本会如何,但你无法要求客户去升级的.所以这些办法放弃.谷歌在官方的文档里面提到oauth认证的方案.开始感觉到惊喜,以前做新浪微博的时候,也是oauth2认证,结果,文档里面写到,webview已经不支持这种方式了,url拼完,它也不给你加载.
Google登录授权详细过程
热门推荐
qq_37754001的博客
03-23 3万+
这篇文章包含了google登录授权从API创建、到使用Java代码完成登录的一个完整demo。 目录 了解Auth2.0 创建API服务 使用API 了解Auth2.0 google相关文档:https://developers.google.com/identity/protocols/oauth2 google账号授权登录用的就是Auth2.0协议。 举一个例子了解Auth2.0的设计模式。 令牌 Token 你在公司某个周五的下午点了一杯奶茶,楼下有个需要密码才能进来的门禁,你当然不
oauth2.0 客户端java开发
05-25
Java ,你可以使用一些 OAuth 2.0 客户端来简化开发过程。下面是一个使用 Spring Security OAuth2 客户端实现 OAuth2.0 授权的示例代码: 首先,你需要添加以下依赖项到你的 Maven 项目: ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值