Auth0身份验证平台中发现身份验证绕过漏洞

Auth0身份验证平台中发现身份验证绕过漏洞

黑客安全访客2021-10-11 18:38:007525A+A-

最大的网络身份验证平台Auth0中发现了一个严重身份验证绕过漏洞,该漏洞可能允许恶意攻击者访问任何使用Auth0服务进行身份验证的门户或应用程序。

Auth0为许多平台提供基于令牌的身份验证解决方案,包括将社交媒体身份验证集成到应用程序中的能力。

拥有超过2000家企业客户,每天管理4200万登录信息和每月数十亿次登录,Auth0是最大的身份平台之一。

2017年9月,安全公司Cinta Infinita的研究人员在验证应用程序时发现Auth0的Legacy Lock API中存在一个漏洞(CVE-2018-6873),该漏洞由于对JSON Web Tokens(JWT)受众参数的不正确验证而存在。

研究人员成功利用此问题绕过Auth0身份验证运行的应用程序使用简单的跨站点请求伪造(CSRF / XSRF)攻击绕过登录身份验证。

Auth0的CSRF漏洞(CVE-2018-6874)允许攻击者重新使用为单独帐户生成的有效签名JWT访问目标受害者的帐户。

为此,攻击者需要的是受害者的用户ID或电子邮件地址,可以使用简单的社会工程技巧获得。

据研究人员称,这种攻击对于许多组织来说是可重现的,“只要我们知道JWT的预期领域和价值,在我们看到的大多数案例中就没有必要进行社会工程了。地址或用于用户标识的递增整数将被平分绕过。

该安全公司在2017年10月报告了Auth0安全小组的漏洞。该公司行事非常迅速,并在不到4个小时内解决了这一弱点。

但是,由于脆弱的SDK和支持的Auth0库已经在客户端实现,所以Auth0在公开披露此问题之前花费了近6个月的时间联系每位客户并帮助他们修复此漏洞。

“与Cinta Infinita发现的特殊案例的修复不同,这个问题不能在不强迫我们的客户升级库/ SDK的情况下完成,这是一项更重要的任务,”Auth0团队在其咨询中表示。

该公司通过大量重写受影响的库并发布其新版本的SDK(auth0.js 9和Lock 11)来减轻漏洞。

Cinta Infinita在公开披露漏洞之前还等了六个月,Auth0团队也有足够的时间更新所有私有SaaS设备(内部部署)。

该安全公司现已发布了概念验证(PoC)视频,演示了如何通过伪造身份验证令牌登录到Auth0的管理仪表板时获得受害者的用户ID并绕过密码验证。

原文:https://thehackernews.com/2018/04/auth0-authentication-bypass.html

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 北槐謓念2022-05-30 02:49:58
  • 仪表板时获得受害者的用户ID并绕过密码验证。原文:https://thehackernews.com/2018/04/auth0-authentication-bypass.html
  • 鸠骨败骨2022-05-29 20:57:00
  • 研究人员称,这种攻击对于许多组织来说是可重现的,“只要我们知道JWT的预期领域和价值,在我们看到的大多数案例中就没有必要进行社会工程了。地址或用于用户标识的递增整数将被平分绕过。该安全公司
  • 礼忱橘欢2022-05-30 02:52:59
  • 写受影响的库并发布其新版本的SDK(auth0.js 9和Lock 11)来减轻漏洞。Cinta Infinita在公开披露漏洞之前还等了六个月,Auth0团队也有足够的时间更新所有私有SaaS设备(内部部署)。该安全公司现
  • 离鸢莣萳2022-05-30 03:32:56
  • 0团队也有足够的时间更新所有私有SaaS设备(内部部署)。该安全公司现已发布了概念验证(PoC)视频,演示了如何通过伪造身份验证令牌登录到Auth0的管理仪表板时获得受害者的用户ID并绕过密码验证。原文:https://thehackernews
  • 北槐偶亦2022-05-30 01:20:09
  • hehackernews.com/2018/04/auth0-authentication-bypass.html

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理