开源认证包Nextauth.js 认证绕过漏洞,可使邮件账户遭接管

最新推荐文章于 2024-06-12 23:13:31 发布
最新推荐文章于 2024-06-12 23:13:31 发布
阅读量585 收藏
点赞数
文章标签: 安全 java 信息安全 c++ xss
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247513431&idx=3&sn=fda2413d650ea5dcfb0c44e88ed0e525&chksm=ea94843ddde30d2bc908828d04a57720f67c7c93ca9cff3851c6c413446260fea647ffdfbd8c&scene=126&&sessionid=0
版权

debd998a7574deaf6d9f926d4677a7b0.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

next.js 应用程序的开源认证包 Nextauth.js 中存在一个严重漏洞,可导致恶意人员接管受害者的邮件账户,CVSS评分为9.1。

该NPM包的用户如使用4.10.3或3.29.10版本之前的 EmailProvider,则受该漏洞影响。

如攻击者能伪造请求,将通过逗号分割的邮件清单,如attacker@attacker.com,victim@victim.com 发送到登录端点,则Nextauth.js 会将邮件发送给攻击者和受害者的额邮件地址。之后,攻击者将以新建用户身份登录,邮件地址是 attacker@attacker.com和victim@victim.com。signIn回调函数中的基本的授权如 email.endsWith("@victim.com") 将无法将威胁告知开发人员,导致攻击者绕过授权,即使使用的是 @attacker.com 地址也不例外。

漏洞已修复

40c4ffcc008e22ac22bdc7c3bf9f21d2.png

维护人员已在版本4.10.3和v3.29.10中将发送给登录端点的在其它地方访问邮件值之前,将邮件值正常化,修复了该漏洞。

维护人员表示,“我们还在 EmailProvider 配置中增加了 normalizeIdentifier 回调函数,之后可为系统视作合法邮件地址的地址修改要求。”

用户如无法打补丁,也可使用应变措施,不过建议更新至最新版本。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

原文链接

https://portswigger.net/daily-swig/authentication-bypass-bug-in-nextauth-js-could-allow-email-account-takeover

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

b555b286513ca1cc31247a8bead9837d.jpeg

ccd5cb27bbc268d5207506ce5d1e23ca.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9b749546a665f9f8514508049f74ad6b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在 Next.js 中实现用户授权
分享身边生活经验blog
09-30 3851
OAuth2.0 是一种行业标准的授权协议,使互联网用户能够与第三方网站和应用程序共享其帐户信息,而无需提供其帐户凭据。本指南使用 NextAuth.js 库在 Next.js 应用程序中实现用户授权 (OAuth2.0)。NextAuth.js 是用于 Next.js 的成熟的身份验证和授权解决方案 ,旨在与任何 OAuth 服务一起使用。它内置了对许多流行登录服务的支持,括 Google 和 GitHub。要学习本教程,您需要 Node.js 12.0 或更高版本 以及 React 的基本知识。
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC
09-04
Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906POC Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, ...
nextauth:使用nextjs,jwt,nodejs和mongodb进行身份验证工作流
04-03
下一条 使用带有mongo的next和nodejs api服务器进行身份验证过程 用法 cd root npm运行开始
详解Next Auth:自定义邮箱密码登录注册、Github、Notion授权 & Convex集成
最新发布
Ygria的博客
06-12 1145
auth.ts中加入如下代码,可解决自定义session中的属性报ts错误问题。/***/user: {NextAuth能帮助你快速集成第三方登录,也支持灵活的自定义账号、密码登录。借助ORM框架和一些中间件,一个NextJS项目已可以完成所有业务功能,不需要再有独立的后端服务。对于小而美的项目,是一个快速落地的理想选择。
一、next-auth 身份验证凭据-使用电子邮件和密码注册登录
风吹落叶的博客
04-04 1315
Next auth 身份验证凭据 - 使用电子邮件和密码注册和登录(NextJS app 路由)在nextauth 的route页面增加signin路径pages:{},
nextauth需要后端吗
m0_57236802的博客
03-08 531
NextAuth.js 设计之初就是为了简化 Next.js 应用的认证过程,允许开发者在不需要传统后端服务的情况下实现完整的认证功能。它利用了 Next.js 的 API 路由能力,让整个应用(前端和认证逻辑)都可以在一个统一的项目中开发和部署。不过,这并不意味着它无需服务器环境,或不与第三方认证服务进行通信。
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
然而,如同任何复杂的软件系统,NACOS也可能存在安全漏洞,其中之一就是“身份认证绕过漏洞”。 身份认证绕过漏洞通常指的是攻击者可以通过某种方式规避系统的身份验证机制,直接访问或操作本应受保护的资源。在...
Tesseract.js:纯Javascript多语言OCR-开源
04-29
Tesseract.js是一个JavaScript库,可从图像中获取几乎所有口头语言的单词。 Tesseract.js的主要功能(例如,识别,检测)采用图像参数,该参数应该类似于图像。 根据是从浏览器运行还是通过NodeJS运行,所谓的...
linux下的802.1x客户端源代码(EAP-MD5认证
09-12
linux下的802.1x客户端源代码,采用的是EAP-MD5认证。最简单的802.1x客户端代码,只有一个c文件,基于pcap实现(需要安装libpcap)。可直接编译和运行,自己测试通过。
Node.js-开源通用用户注册系统-NodeJSReactReduxJWTMongoDB
08-10
1. **Node.js**:Node.js 是一个基于Chrome V8引擎的JavaScript运行环境,允许开发者在服务器端使用JavaScript进行开发。Node.js 使用事件驱动、非阻塞I/O模型,使其轻量又高效,特别适合构建数据密集型实时应用。 ...
next-auth:Next.js的身份验证
02-04
NextAuth.js Next.js的身份验证 开源。 全栈。 拥有您的数据。 总览 NextAuth.js是针对应用程序的完整的开源身份验证解决方案。 它是从头开始设计的,以支持Next.js和Serverless。 入门 npm install --save next-auth 继续入门的最简单方法是遵循文档中的部分。 对于那些正在寻找更具体示例的人,我们还有一部分。 有关更多信息和文档,请参见 。 产品特点 灵活易用 专为与任何OAuth服务一起使用而设计,它支持OAuth 1.0、1.0A和2.0 内置支持 支持电子邮件/无密码认证 支持任何后端(Active Direct
nextauthexample:NextAuth.js示例
04-09
NextAuth.js示例 关于这个项目 该项目基于。 转到此处,以获取有关该项目的基本代码的更多信息。 我正在使用该项目来尝试将身份验证扩展到整个应用程序(登录页面除外)。 启动应用程序 要在本地运行站点,请使用: npm run dev 要以生产模式运行它,请使用: npm build npm start
prisma-next-auth:使用Prisma和next-auth进行无密码身份验证的Next.js样板
05-13
使用Next.js,Prisma和next-auth的无密码身份验证 在本文中,您将学习如何使用和将无密码身份验证添加到应用程序中。 在本教程结束时,您的用户将能够使用其GitHub帐户或直接发送到其电子邮件收件箱的Slack样式的魔术链接登录到您的应用程序。 Prisma是一种类型安全的数据库客户端,它替代了传统的ORM,并使用自动生成的查询生成器使数据库访问变得容易。 结合next-auth ,我们只需要执行几个步骤即可实现完整的身份验证机制,而无需自己编写任何SQL代码。 如果您想继续,请克隆并切换到“ 分支! :grinning_face_with_big_eyes: 检查光滑的身份验证流程! 步骤0:依赖关系和数据库设置 在开始之前,让我们将Prisma和next-auth安装到Next.js项目中。 npm i next-auth npm i -D @prisma/cli @types/next-auth
nextjs-oauth-github:通过NextAuth登录GitHub
05-16
nextjs-oauth-github 通过NextAuth登录GitHub
nextjs-mongodb:一个简单的nextjs + mongodb示例
02-15
NextJS + MongoDB 这是一个小仓库,显示了如何将MongoDB与NextJS一起使用。 入门 用yarn install安装依赖项。 准备好mongodb uri(无论是本地的还是远程的),并将其添加到根目录中的DATABASE_URI=<your>下的.env.local中。 跑步 yarn dev
探索Next.js身份验证新星:Next-Auth
gitblog_00067的博客
04-09 551
探索Next.js身份验证新星:Next-Auth 项目地址:https://gitcode.com/iaincollins/next-auth 在构建现代Web应用时,安全的身份验证和授权是必不可少的部分。Next-Auth 是一个针对Next.js框架的优秀身份验证解决方案,旨在简化开发过程并提高用户体验。本文将深入探讨Next-Auth的特性、工作原理及应用场景,以期吸引更多的开发者加入到这...
怎样在NEXT.JS中设置next-auth并实现登入登出
weixin_43561635的博客
03-26 1202
是一个专为Next.js开发的认证库,支持多种认证提供者,如Google、Facebook、Twitter以及基于邮箱的登录等。通过以上步骤,你已经在你的Next.js应用中集成了next-auth,实现了基于GitHub和Google的登录。在这个文件中,你可以配置你的认证提供者、数据库连接(如果需要)以及其他相关设置。来实现登录和登出功能是一种流行且相对简单的方法。能在你的应用中正确管理会话,需要在应用的顶层添加。首先,你需要在你的Next.js项目中安装。接下来,你需要在你的项目中创建一个。
Typescript 全栈最值得学习的技术栈 TRPC
kuizuo12的博客
03-08 4261
本文介绍了 tRPC 技术以及它与传统 RESTful API 的区别。同时 tRPC 可以帮助人们更快地开发全栈 TypeScript 应用程序,同时无需传统的 API 层,并保证应用程序在快速迭代时的稳定性。
nacos身份认证绕过漏洞批量检测poc
06-23
攻击者可以利用该漏洞绕过Nacos的身份验证,实现未经授权访问敏感信息或执行恶意操作。为了增强安全性,开发人员需要尽快修补漏洞。 为方便安全研究人员和开发人员识别漏洞,可以使用批量检测poc。poc是Proof of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值