OAuthのワイルドカードサブドメインコールバックURLが安全でないと見なされるのはなぜですか?
この投稿では: http://technotes.iangreenleaf.com/posts/closing-another-nasty-security-hole-in-oauth.html
このフィールドに完全なコールバックURLを入力します。つまり、 https://mysite.com/oauth/callback のようにパス全体を指定する必要があります。ワイルドカードを使用せず、ドメインのみを使用しないでください。
投稿では、ワイルドカードは安全ではないことが指摘されています。
後で、この投稿は、任意のコールバックURLの脆弱性のみを示す例を提供します。
https://*.mysite.com/oauth/callbackのようなコールバックが安全でないのはなぜでしょうか。 OAuthプロバイダーはそれをサポートしていないようです(GoogleやFacebookなど)。
ありがとうございました。
これが安全でない理由は他にもあります。
ワイルドカードの潜在的なリークトークンなどのOAuthを任意のサブドメインにリダイレクトできます。例:サブドメインがいくつかあり、ワイルドカード全体を所有していない場合、攻撃者は他のサブドメインを登録し、ログインページのような真のフィッシング攻撃を行うか、悪意のあるサービスを提供できます。ウェブページ
この方法で発行された各トークンは、クロスワイルドカードOriginになります(このワイルドカードの下にアプリがいくつあるかわかりません)
いくつかのサブドメインユーザーのワイルドカード用のsslがある場合、私はあなたの非HTTPS Webサービスにリダイレクトし、トークンを取得してそのユーザーとしてログインできるため、MitM攻撃は簡単です
* .example.comにSSLがある場合、OAuthプロバイダーの実装とユーザーの実装によっては、攻撃者は引き続きを使用できます。example.comからMitMへのエンドユーザー攻撃DNSがこれを受け取るので、 OAuthがサブドメインのサブドメインかどうかを検証しない場合は、
最初に頭に浮かぶのは、サブドメイン乗っ取り攻撃がより強力になることです。これにより、たとえば、support.example.comでホストされているヘルプデスクソフトウェアが、権限の昇格のためにadmin.example.comの有効なoauthトークンを生成する可能性があります。
そして、ボーナスとして、無料でサブドメインを提供するホスティングプロバイダーで実行している人々がいます。したがって、oauthトークンを1つから生成できれば、他の誰でも使えるトークンを取得できます。