OAuth 和 OpenID 发现严重安全漏洞

根据内特劳森(Nate Lawson)和泰勒纳尔逊(Taylor Nelson)实验室研究发现:用于第三方网络应用和桌面应用程序认证的 OpenID和OAuth协议存在一个严重的安全威胁风险。事实上,这个安全漏洞影响到其他主机的开源认证服务。该事项将在即将召开的安全会议中提出。

这个漏洞非常有争议,根据该攻击的时间,为需要签名分析和估计的时间,如果攻击者检查了他的企图是正确的或不签字的前几个字符。如果反复这个过程,可能导致在理论上成功入侵。然而,在实践中,很难进行,直到三年前。

三年前,一黑客根据时间入侵进入 XBox。但是,这是一个与主机的直接互动。在网络的环境下,我们需要考虑许多不同因素如网络负载,抖动和延迟等等。

劳森和纳尔逊都声称,他们已在网络上进行试验,并成功地获得了敏感信息。关于这方面的进一步细节将在拉斯维加斯即将举行的黑帽子会议上展示。