OAuth و OpenID دو استاندارد برای شناسایی (احراز هویت) هستند که برخی از سایت ها و سرویس های عمومی از آنها استفاده می کنند. OAuth یک استاندارد باز (Open Standard) است که یک دسترسی امن برای برنامه کلاینت به منابع سرور بعنوان مالک منابع، فراهم می آورد . این سیستم به کاربران خدمات اینترنتی اجازه می دهد تا اطلاعات کاربری خود را بدون نیاز به وارد کردن نام کاربری و کلمه عبور، در یک بستر امن ، با خدمات دیگر به استراک بگذارند.

OpenID یک سیستم شناسایی یگانه ( Single Sign-On ) است که این امکان را برای کاربران سایت هایی که از این سیستم پشتیبانی می کنند را فراهم می آورد که دیگر نیازی به خاطر سپردن نشانه های رایج شناسایی مانند نام کاربری و یا کلمه عبور نمی باشد. به جای آن تنها به ثبت نام در یک وب سایت احراز هویت نیاز دارند.

اخیرا یک باگ امنیتی جدید در مورد سایت هایی که از مکانیزم های احراز هویت OAuth و OpenID استفاده می کنند ، فاش شده است. البته این باگ به اندازه آسیب پذیری در مورد OpenSSL خطرناک نبوده و مستقیما اطلاعات شخصی مردم را تهدید نمی کند.این آسیب پذیری می تواند حمله های برنامه ریزی شده هم به کلاینت و هم سرویس دهنده ای که از OAtuth  و OpenID استفاده می کنند را مدیریت کند. این باگ امنیتی سایت های بزرگی همچون Yahoo ، Google ،  Facebook، LinkedIn ، Microsoft ، PayPal و ... که از این مکانیزم استفاده می کنند هم تحت تاثیر قرار داده است.

در چند وقت اخیر آمار دانلود های گول زننده  و Ransomware  ها افزایش یافته است. بدون شک برای حل این مشکلات باید چاره ای اندیشید .

کارشناسان امنیت 7 مورد از خطرات و مشکلات امنیتی رایج در سازمان ها را به شرح زیر اعلام نموده اند.

  1. استفاده از   Open Redirects های فراوان در وب سایت که به دلیل حفره های امنیتی این ماژول، ریسک زیادی را برای وب سایت ها به وجود می آورند.

  2. توسعه دهندگان (Developers ) سایت ها به توصیه های امنیتی توجه نمی کنند. حتی برنامه نویسان سایت های بزرگی مانند فیس بوک نیز به دلیل تنبلی خود، بسیاری از توصیه های امنیتی را جدی نمی گیرند.

  3. حمله اخیر به ESPN نشان داد این خطرات تا چه حد جدی هستند. حمله اخیر به کاربرانی که از طریق Open redirect با استفاده از اکانت فیس بوک خود در ESPN لاگین می کردند، نشان داد که به چه آسانی امکان استفاده از این باگ امنیتی وجود دارد. در این روش حمله کنندگان، Token کاربران را دزدیده و آن ها را به فیس بوک Replay می کردند و بدین ترتیب به اکانت آن ها دسترسی پیدا می کردند.

  4. از تکنیک های مهندسی اجتماعی آگاه باشید.یکی دیگر از روش های سواستفاده از Open redirect هدایت کردن کاربران به سایت های متفرقه با استفاده روش های مهندسی اجتماعی می باشد.

  5. توسعه دهندگان : اقلیم خود را بشناسید. یکی از راه های مقابله با خطرات Open redirect کنترل دقیق URL های قابل Redirect است که برنامه نویسان باید توجه ویژه ای به آن نمایند

  6. بعد از افشا شدن یک باگ امنیتی ، فقط برخی از سایت ها برای رفع آن اقدام می کنند.کاشف اصلی این باگ امنیتی در مصاحبه خود گفته که بعد از افشا کردن این مورد، کمپانی های مانند گوگل، مایکروسافت و فیس بوک سریعا نسبت به رفع آن اقدام کردند، اما کمپانی های دیگری مانند Yahoo بدون توجه به آن هیچ اقدام مناسبی برای رفع این مشکل انجام نداند.

  7. رفع مشکلات امنیتی به صورت کلی زمان بر است. کمپانی های مانند فیس بوک، به دلیل دارا بودن میلیون ها کاربر در سرتاسر دنیا، نمی توانند سریعا نسبت به رفع مشکل امنیتی خود و الزام تمامی کاربران به رعایت موارد امنیتی اقدام کنند زیرا در این صورت ممکن است بسیاری از کاربران خود را از دست بدهند.

برای کسب اطلاعات بیشتر در مورد این گزارش  می توانید به لینک زیر مراجعه نمایید :

http://www.darkreading.com