Harvest uygulamasındaki açık yönlendirme üzerinden Microsoft hesabının OAuth token’larının çalınması

 (eval.blog)
1 puan yazan GN⁺ 2023-10-23 | 1 yorum | WhatsApp'ta paylaş
  • Bu makale, kullanıcıların Outlook takvimlerini OAuth üzerinden bağlamasına olanak tanıyan zaman takibi yazılımı Harvest’teki bir güvenlik açığını ele alıyor.
  • Bu açık, Harvest’in açık yönlendirmesi üzerinden bağlı Microsoft hesabının OAuth token’larının çalınabilmesini mümkün kıldı.
  • Yetkilendirme başarıyla tamamlandığında kullanıcı, state içinde verilen URL’ye kullanıcıyı ek olarak yönlendiren bir URL’ye yönlendiriliyor. Bu da açık yönlendirmeye yol açıyor.
  • Açık yönlendirme, örtük izin akışı üzerinden erişim token’larını çalmak için kullanılabiliyor.
  • Bu açık, OAuth uygulaması kullanılarak Outlook takvimine başarıyla bağlandıktan sonra keşfedildi.
  • Açık yönlendirme ile örtük izin akışının birleşimi, erişim token’larının yönlendirilen URL’ye sızmasına neden oluyor.
  • Harvest ekibi, güvenlik açığı bildirimine yavaş tepki verdi ve sorunun çözülmesi 3 yıl sürdü.
  • Şirket açığı kabul etti, ancak düzeltildiğinde bunu raporlayana bildirmedi.
  • Bu rapor 21 Ekim 2023 tarihinde kamuya açık olarak yayımlandı.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-23
Hacker News yorumları
  • Hata ödül programı yöneticisi, sorunu tamamen yeniden üretemediğini ve kurum içi karışıklık nedeniyle sorunun çözüldüğünü düşündüğünü açıklıyor.
  • Harvest uygulaması kullanıcıları, yeni özelliklerin yetersizliğini ve aktif müşterilerin çıkarımına izin veren güvenlik açığını gerekçe göstererek şirketin mühendislik yetkinliği konusunda endişelerini dile getiriyor.
  • Bir yorumcu, RFC 6749'un bu tür saldırıların nasıl önleneceğini ayrıntılı şekilde açıkladığını belirtiyor ve Harvest uygulamasının neden kötü niyetli bir redirect_uri kaydetmediğini sorguluyor.
  • Başka bir yorumcu, başlığın Microsoft'a karşı haksız olduğunu eleştiriyor; token'ların Harvest'e ait olduğunu ve açığın Harvest kodundaki bir zafiyetten kaynaklandığını savunuyor.
  • Yazıda gösterilen nedenlerden dolayı implicit grant eleştiriliyor; ayrıca bunun yaklaşan OAuth 2.1 spesifikasyonunda çıkarılacağı da not ediliyor.
  • Bir yorumcu, güvenlik açığının düzeltilmesinin üç yıl sürmüş olmasına (Ağustos 2020 - Ağustos 2023) şaşkınlığını ifade ediyor.
  • Bir yorumcu, bir OAuth uzmanından bu sorunu daha ayrıntılı açıklamasını istiyor; çünkü açığı anlamakta zorlanıyor.
  • Bir yorumcu, bu durumun neden Microsoft'a bildirilmediğini sorguluyor ve sorun çözülene kadar OAuth uygulamasına erişimin iptal edilebileceğini öne sürüyor.
  • Bir yorumcu, şirketin bu sorunu çözmek için neden üç yıl beklediğini sorguluyor ve bunu kamuya açıklamadan önce 90 günün yeterli olduğunu savunuyor.
  • Bir yorumcu, Hackerone'ın bu tür sorunları üç yıl boyunca görmezden gelen şirketlere izin vermesini eleştiriyor.