网络信息安全从业者Proofpoint于本周指出 ,该公司最近发现许多新型态的攻击手法,利用微软及其它业者的OAuth 2.0实作来展开网络钓鱼攻击。
关于OAuth的一些介绍
OAuth为一开放标准,让第三方应用得以在未取得使用者名称及密码的状态下,透过存取权杖(Access Token)存取使用者存放于特定网站上的有限资源,例如有些第三方的云端应用会藉由OAuth 2.0存取使用者置放在Microsoft 365或Google Workspace平台上的资料。
研究人员说明,当一个网页应用结合使用者控制的参与以指定重新定向的连结时,就会出现开放性的重新定向漏洞,将让黑客替网页应用打造一个URL,重新定向到任意的外部网域,经典的开放重新定向攻击会以自己的URL作为重新定向的目标,但最新技俩的目标URL却是配置在OAuth供应商的框架中,且未验证该URL。
此外ÿ