Monthly Archives: June 2014

VK.com OAuth 2.0 Service Covert Redirect Web Security Bugs (Information Leakage & Open Redirect)

  VK.com OAuth 2.0 Service Covert Redirect Web Security Bugs (Information Leakage & Open Redirect)   (1) Domain: vk.com   “VK (originally VKontakte, Russian: ВКонтакте, literally “in touch”) is the largest Russian social network in Europe. It is available in … Continue reading

Posted in 0Day, Covert Redirect, Website Testing | Tagged | Leave a comment

พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า, Covert Redirect

Originally posted on INZEED Business Information & Counsel:
พบช่องโหว่ความปลอดภัยในระบบล็อกอิน OAuth และ OpenID เว็บใหญ่โดนกันถ้วนหน้า, Covert Redirect Wang Jing นักศึกษาปริญญาเอกจาก Nanyang Technology University ในสิงคโปร์ ประกาศค้นพบช่องโหว่ในระบบล็อกอิน OAuth 2.0 และ OpenID ที่ส่งผลกระทบต่อเว็บไซต์ชื่อดังเป็นจำนวนมาก Jing เรียกช่องโหว่นี้ว่า “Covert Redirect” เพราะมันอาศัยการที่ระบบล็อกอินทั้งสองตัวจะยืนยันตัวตนผู้ใช้ แล้ว redirect ไปยังเว็บไซต์ปลายทาง แต่กลับไม่ตรวจสอบเว็บไซต์ปลายทางให้ดีก่อน จึงอาจถูก ใช้ในการปลอม redirect ไปยังเว็บไซต์ของผู้โจมตีแทนได้ (และเว็บไซต์ที่โจมตีจะได้ข้อมูลส่วนตัวจาก เว็บไซต์ต้นทางไป แล้วแต่สิทธิที่ผู้ใช้อนุญาตให้) http://biboying.lofter.com/post/1cc9f4f5_43973bc

Posted in Articles | Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Leave a comment

Alibaba Taobao OAuth 2.0 Service Covert Redirect Web Security Bugs (Information Leakage & Open Redirect)

  Alibaba Taobao OAuth 2.0 Service Covert Redirect Web Security Bugs (Information Leakage & Open Redirect) (1) Domain: taobao.com     “Taobao (simplified Chinese: 淘宝网; traditional Chinese: 淘寶網; pinyin: Táobǎo Wǎng; literally: “searching for treasure website”) is a Chinese website … Continue reading

Posted in 0Day, Covert Redirect, Website Testing | Tagged , , , | Leave a comment

Sicherheitslücke in OAuth 2.0 und OpenID gefunden

Wang Jing, Student an der Nanyang Technological University in Singapur, hat nach dem Bekanntwerden des OpenSSL-Heartbleed-Lecks, eine weitere schwere Sicherheitslücke entdeckt, diesmal in den Authentifizierungsmethoden OAuth 2.0 und OpenID. Die als “Covert Redirect” (“Heimliche Umleitung”) benannte Sicherheitslücke ermöglicht es Angreifern, … Continue reading

Posted in 0Day, IT Computer & Web | Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Leave a comment

Godaddy Web Service Covert Redirect Security Bugs Based on Google.com

  Godaddy Online Website Covert Redirect Web Security Bugs Based on Google.com   (1) Domain: godaddy.com     “GoDaddy is a publicly traded Internet domain registrar and web hosting company. As of 2014, GoDaddy was said to have had more … Continue reading

Posted in 0Day, Covert Redirect, Website Testing | Tagged , , , , , , , , , , , | Leave a comment