第三方賬號登陸也就是當你沒有A網站的注冊賬號時,你可以使用該與A網站合作的第三方賬號登陸A,在大多數情況下你會立即擁有與你第三方賬號綁定的A網站會員,然后執行A網站的會員操作。這種場景常見于登陸團購、酒店住宿等網站,當人們沒有該網站賬號時,不少人會毫不猶豫地選擇使用qq等登陸。以下的第三方賬號就以qq為例吧
第三方賬號登陸骨子里就是單點登錄SSO的概念,現在添加了很多商業因素。當你使用了第三方賬號登陸了,目標站點可以通過第三方賬號確定你的身份,你與目標站點的信任關系就建立起來了。SS0的流行讓“一個賬號游遍互聯網”成為了可能。
SSO的優點在于風險集中化,對用戶來說不用記那么多的賬號密碼了,對一些中小網站來說可以專心于業務上而減小賬號管理成本。SSO的缺電也很明顯,因為風險集中了,所以如果單點一旦被攻破,影響的業務就會涉及所有使用單點登錄的系統。為此有些敏感操作如付款等會要求用戶輸入獨立口令或者通過短信驗證用戶身份等。
騰訊qq的授權登陸過程大致如下:
在這里很重要的一點是認證的過程是在qq的控制下完成了。授權通過后,用戶還可以設置允許網絡應用程序訪問自己qq賬號的那些數據以及是否可以發布狀態等權限。(用戶只能在qq授權規則范圍內再次選擇授權)
OAuth協議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。現在已經發展到2.0版,具體內容大家可百度之。
風險1:針對目標網絡應用程序而言,從第三方賬號獲取的數據構成了一種輸入,而輸入一般是需要進行過濾的,否則會引發XSS。
烏云上有這么一個漏洞 WooYun: 拉手網任意訂單密碼以及用戶信息存在泄漏風險(xss盲打后臺)
拉手網獲取qq昵稱后直接輸出到拉手網頁面了,而且騰訊允許qq昵稱帶有特殊字符如等,然后使用qq賬號登陸拉手網,其在拉手網的昵稱就存在一個xss。該漏洞中作者通過評論反饋盲打了后臺并成功登陸。
直到今天拉手網的這個qq昵稱問題仍然存在,只是已經不能盲打后臺了,估計在之后的頁面輸出時做了過濾。類似的使用qq賬戶登錄58團、糯米團等,大家有興趣還可以檢測更多的網站。
風險2:授權后的站點在第三方賬號站點發布的數據也構成了一種輸入,這種輸入存在兩個問題:第一個問題本質上還是上面的過濾問題,見烏云漏洞 WooYun: 博客園的分享接口存在xss漏洞(廣大程序猿們要注意啊) 發布文章到博客園形成xss;第二個問題就是有些無良站點,在用戶授權登陸后往用戶賬號發布令人反感的信息,一些小白用戶甚至都不明白怎么回事。
任何時候都不要忘記一個原則:來自用戶的輸入都是不安全的,堵住了傳統的發布渠道時不要忘了所謂的合作賬戶數據也是一種輸入。
盡管有些網站開發者意識到了要過濾第三方賬戶的數據,但是開發人員良莠不齊,而且策略也很紊亂。例如:有些地方過濾有些地方不過濾(拉手就是這種情況,總覺得以后還會出問題),還有的甚至根本就不過濾。建議開發者在用戶一次授權登陸后獲取第三方數據并過濾,之后在用戶此次登陸過程中就使用這份過濾后版本的數據。
?