События

В платформе Auth0 обнаружена уязвимость обхода аутентификации

В платформе Auth0 обнаружена уязвимость обхода аутентификации

В одной из крупнейших платформ для идентификации пользователей Auth0 обнаружена опасная уязвимость обхода аутентификации, позволяющая злоумышленнику получить доступ к любому порталу или приложению, использующему данный сервис.

Ранее исследователи безопасности из компании Cinta Infinita обнаружили уязвимость CVE-2018-6873 в Auth0 API Legacy Lock, существующую из-за некорректной проверки параметров JSON Web Tokens (JWT).

Исследователи успешно проэксплуатировали данную проблему, и обошли аутентификацию входа в систему с помощью уязвимости CVE-2018-6874, позволяющей осуществить межсайтовую подделку запроса (CSRF/XSRF) в приложениях, использующих Auth0. Проэксплуатировав CVE-2018-6874, злоумышленник может повторно использовать действительный подписанный токен JWT, сгенерированный для сторонней учетной записи, для получения доступа к аккаунту жертвы.

Злоумышленнику нужен лишь идентификатор пользователя или адрес электронной почты жертвы, который можно получить с помощью методов социальной инженерии.

Исследователи уведомили команду безопасности Auth0 об уязвимости, после чего она была исправлена в течение 4 часов. Поскольку уязвимые SDK и поддерживаемые библиотеки Auth0 были реализованы на стороне клиента, уведомление каждого из них заняло почти шесть месяцев.

Компания исправила уязвимости, значительно переработав уязвимые библиотеки и выпустив новые версии SDK (auth0.js 9 и Lock 11).

Видео с демонстрацией атаки:

Auth0 представляет собой решение для аутентификации на основе токенов для ряда платформ, включающее возможность интеграции аутентификации в социальных сетях. Auth0 является одной из самых больших платформ идентификации с более чем 2 тыс. корпоративных клиентов.

Источник

Автор: Сергей Куприянов
9.04.2018 (10:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.