与OpenSSL一样,OAuth(Open Authorization)作为应用广泛的开源第三方登录认证协议,今年也爆出了安全漏洞。在第三届知道安全论坛上,来自新浪微博的蓝色di雪球表示新浪早在今年3月就发现了这个漏洞,并从OAuth的发展、OAuth的调用方式、OAuth风险分析以及如何利用OAuth漏洞几个方面展开了精彩的演讲。
OAuth是什么?OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往授权方式不同,通过授权团队可以不使用用户名密码,第三方就可以再某网络获得数据和信息。
OAuth调用方式有四种,比较常用的有两种:Authorization Code与Implicit。蓝色di雪球表示OAuth调用方式存在信息泄露、CSRF、url回调污染以及权限认证利用的风险。其中信息泄露包含:Code泄露、Access Token泄露以及Appsecrit泄露。而CSRF包含授权劫持以及绑定劫持。
如何优雅的利用OAuth漏洞?蓝色di雪球表示,经用户授权,与第三方网站绑定,并登录账户后,攻击者通过构造OAuth回调污染发送私信,实现钓鱼诱使用户点击URL从而劫持用户的应用方身份。另外,拿到Access_token可能劫持大V用户发微博、劫持大量用户发评论、劫持信任攻击、删除指定微博、刷粉、强制关注,甚至获得商业数据。
由于被第三方广泛应用和大量历史遗留问题OAuth漏洞的修复在短时间内难以完成,而针对URL回调污染问题的修复,蓝色di雪球建议明确风险,进行日志分析,并检测全路径。
最后,蓝色di雪球表示未来OAuth可能存在授权滥用以及授权token被拖库的风险。对此,他建议直接封禁上行权限,封禁应用。
xp系统里面固定有哪些进程???
1、 :该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及com,调用Win32壳子系统和运行在 Windows登录过程。 2、:客户端服务子系统,用以控制windows图形相关子系统。 3、: windows NT 用户登录程序4、:管理windows服务。 5、:管理IP安全策略以及启动ISAKMP/Oakley (IKE)和IP安全驱动程序。 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket),也就是本地安全权限服务,属于 windows的核心进程之一,大名鼎鼎的震荡波就是利用其中漏洞进行攻击的。 6、:是一个系统的核心进程,并不是病毒进程,但由于进程的特殊性,所以病毒也会千方百计的入侵。 通过查看进程的执行路径可以确认是否中毒。 是从动态链接库(DLL)中运行的服务的通用主机进程名称。 其实是 windows XP系统的一个核心进程。 不单单出现在XP中,在使用NT内核的系统中都会有的存在。 一般在2000中 进程的数目为2个,而在XP中的进程上升到了4个或4个以上,所以看到系统的进程列表中有几个 不用担心。 如果你怀疑计算机有可能被病毒感染,的服务出现异常的话通过搜索文件可以发现异常情况。 一般只会找到一个在“c:\windows\system32”目录下的程序。 如果你在其他目录下发现 程序的话,那很可能中毒了。 7、:windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单,任务栏,桌面和文件管理,这个进程主要负责显示系统桌面上的图标以及任务栏
如何打造个人安全系统?
1.察看本地共享资源2.删除共享(每次输入一个)3.删除ipc$空连接4.关闭自己的139端口,ipc和RPC漏洞存在于此。5.防止rpc漏洞6.445端口的关闭7.3389的关闭8.4899的防范9、禁用服务10、账号密码的安全原则11、本地策略设置12、自己动手DIY在本地策略的安全选项13、借助如优化大师之类的系统工具进行安全设置
简繁系统svchost.exe错误
出现这个错误一般有三种情况。 1.就是病毒。 开机后会提示Generic Host Process for Win32 Services 遇到问题需要 关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。 一般该病毒会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun 下建立键值,还会在c:windowssystem32目录下会放置一个的木马程,解决方案如下: RPC漏洞 详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。 该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。 如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个攻击现象: 攻击者在用户注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun 下建立一个叫“msupdate”(估计有变化)的键,键值一般为:windowssystem32目录下会放置一个 的木马程序. 另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。 建议到下载相应补丁。 如果已受攻击,建议先拔掉网线,在任务管理器中结束进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。 第二种情况是排除病毒后,还出现这样的问题,一般都是IE组件在注册表中注册信息被破坏,可以按下面的方法去解决该问题: 1。 在开始菜单中打开运行窗口,在其中输入regsvr32 ,然后确定,接着会出现一个信息对话 框DllRegisterServer in succeeded,再次点击确定。 2 再次打开运行窗口,输入regsvr32 3 再次打开运行窗口,输入regsvr32 4 再次打开运行窗口,输入regsvr32 5 再次打开运行窗口,输入regsvr32 6 再次打开运行窗口,输入regsvr32 7 再次打开运行窗口,输入regsvr32 8 再次打开运行窗口,输入regsvr32 如果排除病毒问题后,做完上面的几个IE组件注册一般问题即可得到解决。 3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成这个错误。 解决方法如下: 重装打印机驱动程序。 一般情况下做到上面三步后,该问题即可得到全面解决。
发表评论