Harvest ऐप में open redirect के ज़रिए Microsoft अकाउंट के OAuth token की चोरी

 (eval.blog)
1 पॉइंट द्वारा GN⁺ 2023-10-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह लेख Harvest की एक कमजोरी पर चर्चा करता है, जो एक time-tracking software है और उपयोगकर्ताओं को OAuth के ज़रिए अपना Outlook calendar कनेक्ट करने देता है.
  • इस कमजोरी की वजह से Harvest के open redirect के माध्यम से जुड़े हुए Microsoft अकाउंट के OAuth token चुराए जा सकते थे.
  • authorization सफल होने के बाद, उपयोगकर्ता को उस URL पर redirect किया जाता है जो state के भीतर दिए गए URL पर उपयोगकर्ता को आगे redirect करता है. इससे open redirect की स्थिति बनती है.
  • open redirect का उपयोग implicit grant के माध्यम से access token चुराने के लिए किया जा सकता है.
  • यह कमजोरी Outlook calendar से OAuth application का उपयोग करके सफलतापूर्वक कनेक्ट होने के बाद खोजी गई थी.
  • open redirect और implicit grant flow के संयोजन से access token redirect किए गए URL तक लीक हो जाता है.
  • Harvest टीम की vulnerability disclosure पर प्रतिक्रिया धीमी थी, और इस समस्या को ठीक करने में 3 साल लग गए.
  • कंपनी ने कमजोरी को स्वीकार किया, लेकिन इसे ठीक किए जाने पर रिपोर्ट करने वाले को सूचित नहीं किया.
  • यह रिपोर्ट 21 अक्टूबर 2023 को सार्वजनिक रूप से प्रकाशित की गई थी.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-23
Hacker News की राय
  • बग बाउंटी प्रोग्राम के मैनेजर बताते हैं कि वे इस issue को पूरी तरह reproduce नहीं कर सके, और आंतरिक भ्रम के कारण उन्हें लगा कि issue हल हो गया था।
  • Harvest app के उपयोगकर्ता नए features की कमी और ऐसी vulnerability का हवाला देते हुए, जो active customers का अनुमान लगाने की अनुमति देती है, कंपनी की engineering क्षमता पर चिंता जताते हैं।
  • एक commenter इंगित करता है कि RFC 6749 विस्तार से बताता है कि इस प्रकार के attack को कैसे रोका जाए, और सवाल उठाता है कि Harvest app ने malicious redirect_uri को register क्यों नहीं किया।
  • एक अन्य commenter शीर्षक को Microsoft के प्रति अनुचित बताते हुए आलोचना करता है, और तर्क देता है कि token Harvest का था और exposure Harvest के code की vulnerability के कारण हुआ।
  • पोस्ट में दिखाए गए कारणों की वजह से implicit grant की आलोचना की जाती है, साथ ही यह नोट भी दिया गया है कि आने वाले OAuth 2.1 spec में इसे हटा दिया जाएगा।
  • एक commenter इस बात पर हैरानी जताता है that vulnerability को ठीक करने में तीन साल (अगस्त 2020 - अगस्त 2023) लग गए।
  • एक commenter OAuth expert से इस issue को और विस्तार से समझाने का अनुरोध करता है, क्योंकि उसे vulnerability समझने में कठिनाई हो रही है।
  • एक commenter सवाल उठाता है कि इस issue की सूचना Microsoft को क्यों नहीं दी गई, और सुझाव देता है कि issue के हल होने तक OAuth application की access रद्द की जा सकती थी।
  • एक commenter सवाल उठाता है कि कंपनी ने इस issue को ठीक करने के लिए तीन साल तक इंतज़ार क्यों किया, और तर्क देता है कि इसे सार्वजनिक करने से पहले 90 दिन पर्याप्त थे।
  • एक commenter आलोचना करता है कि Hackerone ऐसी कंपनियों को इस तरह के issues को तीन साल तक नज़रअंदाज़ करने की अनुमति देता है।