قد تكون العيوب في نظام التفويض في موقع Booking.com الإلكتروني قد سمحت للمهاجمين بالاستيلاء على حسابات المستخدمين والحصول على رؤية كاملة لبياناتهم الشخصية أو بيانات بطاقة الدفع ، بالإضافة إلى تسجيل الدخول إلى الحسابات على النظام الأساسي الشقيق للموقع ، Kayak.com ، وجد الباحثون.
باحثون من شركة سولت سيكيوريتي اكتشف المشكلات المتعلقة بتنفيذ المنصة لـ أوث، وهو معيار تفويض مفتوح مصمم للسماح بتفويض الوصول عبر التطبيقات لمواقع مختلفة لمشاركة بيانات اعتماد تسجيل الدخول ، وفقًا لـ بلوق وظيفة نشرت اليوم. على الرغم من أنه لم يتم تصميمه خصيصًا لهذا الغرض ، فقد أصبح البروتوكول معيارًا للسماح لمواقع الويب بقراءة البيانات من ملفات تعريف Facebook ، أو تسجيل الدخول إلى موقع باستخدام بيانات اعتماد Google ، على سبيل المثال. معظم الأشخاص على دراية بخيارات نوع "تسجيل الدخول باستخدام Facebook" لبعض الحسابات عبر الإنترنت التي تسمح للمستخدمين بتسجيل الدخول دون إنشاء مجموعة جديدة من بيانات اعتماد تسجيل الدخول.
"A خرق أمني [عبر] OAuth يمكن أن يؤدي إلى سرقة الهوية والاحتيال المالي والوصول إلى جميع أنواع المعلومات الشخصية بما في ذلك أرقام بطاقات الائتمان والرسائل الخاصة والسجلات الصحية وغير ذلك ، كتب يانيف بالماس ، نائب رئيس الأبحاث في Salt Security ، في المنشور.
على وجه التحديد ، اكتشف الباحثون ثغرة أمنية مفتوحة لإعادة التوجيه في Booking.com وحققوا نجاحًا في تسجيل الدخول من خلال الوصول إلى الموقع من خلال خيار "تسجيل الدخول باستخدام Facebook". وفقًا للمنشور ، استغلوا في النهاية ثلاث مشكلات أمنية وربطوها معًا لتحقيق استحواذ كامل على الحساب.
كتب بالماس: "بمجرد تسجيل الدخول ، يمكن للمهاجم تنفيذ أي إجراء نيابة عن المستخدمين المخترقين والحصول على رؤية كاملة للحساب ، بما في ذلك جميع المعلومات الشخصية للمستخدم".
وقال إن المشكلة ربما تسببت في انتهاك خطير لبيانات عملاء موقع حجوزات الفنادق المستخدم على نطاق واسع ، والذي يعد جزءًا من شركة Booking Holdings Fortune 500 ويزوره أكثر من 500 مليون زائر شهريًا. كما يتيح الموقع للمستخدمين تأجير السيارات وحجز سيارات الأجرة.
كتب بالماس في المنشور: "من المحتمل أن يقوم المهاجم بتقديم طلبات غير مصرح بها نيابة عن الضحية ، أو إلغاء الحجوزات الحالية ، أو الوصول إلى معلومات شخصية حساسة مثل سجل الحجز ، والتفضيلات الشخصية ، والحجوزات المستقبلية".
كشفت شركة Salt Security عن المشكلات لـ Booking.com ، والتي أشاد بها الباحثون لاستجابتها السريعة لمعالجتها والتخفيف من حدتها تمامًا. علاوة على ذلك ، لم يكن هناك دليل على التنازل عن منصة Booking.com قبل حل المشكلات ، حسبما قالت Booking.com في بيان قدمته شركة Salt Security.
وقالت الشركة: "عند استلام التقرير من شركة Salt Security ، حققت فرقنا على الفور في النتائج وتأكدت من عدم وجود حل وسط لمنصة Booking.com ، وتم حل الثغرة الأمنية بسرعة". "نحن نتعامل مع حماية بيانات العملاء بمنتهى الجدية."
كيف يعمل بروتوكول OAuth
لفهم كيف قام الباحثون بخرق تطبيق OAuth الخاص بـ Booking.com ، من المهم أن نفهم كيف يعمل المعيار في الموقع وكيف أن تفسير Booking.com له كان معيبًا.
يتم تشغيل OAuth عندما يقوم المستخدم بتسجيل الدخول إلى موقع ويب والنقر على خيار "تسجيل الدخول باستخدام Facebook" الذي تستخدمه العديد من المواقع للسماح بالمصادقة عبر الأنظمة الأساسية. سيفتح الموقع بعد ذلك نافذة جديدة على Facebook ، وإذا كانت هذه هي المرة الأولى التي يزور فيها المستخدم الموقع ، فاطلب الإذن لمشاركة التفاصيل مع الموقع. إذا لم يكن الأمر كذلك ، يقوم Facebook تلقائيًا بمصادقة المستخدم إلى الموقع.
بمجرد أن ينقر المستخدم على زر ، على سبيل المثال ، "متابعة كـ Jane" ، ينشئ Facebook رمزًا مميزًا سريًا خاصًا بموقع الويب ومرتبطًا بملف تعريف المستخدم على Facebook. ثم يستخدم Facebook الرمز المميز لتوجيه المستخدم إلى موقع الويب ، والذي يستخدم الرمز المميز للتواصل مباشرة مع Facebook للحصول على عنوان البريد الإلكتروني للمستخدم. ثم يوافق Facebook على العنوان وارتباطه بالمستخدم ، والذي يستخدمه الموقع لتسجيل دخول المستخدم بنجاح.
كل هذه الاتصالات بين Facebook والمواقع تتضمن عمليات إعادة توجيه مختلفة إلى عناوين URL مختلفة ، حيث تمكن الباحثون من استغلال تطبيق OAuth لسرقة الرمز المميز أو رمز الضحية ، على حد قولهم. عمليات التنفيذ السيئة ليست غير شائعة ؛ في الواقع ، في خرق مايو الماضي ، المهاجمين تم استخدام رموز OAuth المميزة سرقت من شركة Heroku التابعة لـ Salesforce للوصول إلى بيانات حسابات العملاء الحساسة.
البحث عن وسائل للاستغلال
قال بالماس إن معرفة هذا الرمز هو المكان الذي تكمن فيه فرصة المهاجم ، فقد حقق الباحثون في أمان تطبيق المعيار من خلال التسبب في "سلوكيات غير متوقعة للتدفق" من خلال تغيير المعايير المختلفة لمعرفة كيف سيسمح لهم ذلك بشن هجوم ناجح. ما وجدوه كان طرقًا للتعامل مع عمليات إعادة توجيه عناوين URL التي تحدث في الاتصال بين الموقعين لإعادة توجيه المستخدمين إلى عناوين URL التي يتحكم فيها الباحثون ، وبالتالي خلق خطأ إعادة توجيه مفتوح في Booking.com.
كتب بالماس: "أنشأنا رابطًا يستحوذ على أي حساب على Booking.com يستخدم Facebook". "يشير الرابط نفسه إلى نطاق Facebook.com أو Booking.com شرعي ، مما يجعل من الصعب اكتشافه (يدويًا أو تلقائيًا)."
قال الباحثون إن هذه الطريقة سمحت أيضًا بالاستيلاء على الحساب على Kayak.com وتسجيل دخول المستخدمين المتأثرين إلى Booking.com من Google.
مخاطر الإنترنت الأوسع نطاقاً المتعلقة بتطبيقات OAuth الضعيفة
في حين كشف الباحثون فقط عن كيفية استخدامهم OAuth لتسوية Booking.com في التقرير ، اكتشفوا مواقع أخرى معرضة لخطر تطبيق بروتوكول المصادقة بشكل غير صحيح ، كما أخبر بالماس Dark Reading.
يقول: "لقد لاحظنا عدة حالات أخرى لعيوب OAuth على مواقع الويب وخدمات الويب الشهيرة". "الآثار المترتبة على كل قضية تختلف وتعتمد على الخطأ نفسه. في حالتنا ، نتحدث عن عمليات الاستحواذ الكاملة على الحسابات عبرها جميعًا. وهناك بالتأكيد العديد من الأشياء الأخرى التي لم يتم اكتشافها بعد ".
يوفر OAuth حلاً سهلاً لتجاوز عملية تسجيل دخول المستخدم لأصحاب المواقع ، مما يقلل من الاحتكاك الذي يمثل مشكلة "طويلة ومحبطة" ، كما يقول بالماس. ومع ذلك ، على الرغم من أن الأمر يبدو بسيطًا ، إلا أن تنفيذ التكنولوجيا بنجاح وأمان هو في الواقع معقد للغاية من حيث التنفيذ التقني المناسب ، ويمكن أن يكون لخطوة واحدة صغيرة خاطئة تأثير أمني كبير ، كما يقول.
"بعبارة أخرى - من السهل جدًا وضع وظيفة تسجيل دخول اجتماعي عاملة على موقع ويب ، ولكن من الصعب جدًا القيام بذلك بشكل صحيح ،" يقول بالماس لـ Dark Reading.
بشكل عام ، ينصح Balmas مالكي المواقع بمعاملة OAuth "كجزء حساس من خدمتك وإما بناء المعرفة الداخلية العميقة للمجال ، والخضوع لاختبارات أمنية مستمرة ومراجعات للتحقق من صحة افتراضاتك ، أو بالطبع كليهما".
ويضيف: "هذه نصيحة عامة ذات صلة بأي مسار / تقنية حساسة تشكل جزءًا من خدمة الفرد".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/booking-com-oauth-implementation-full-account-takeover
- :يكون
- 7
- a
- ماهرون
- من نحن
- الوصول
- الوصول
- وفقا
- حسابي
- الحسابات
- تحقق
- في
- اكشن
- في الواقع
- العنوان
- يضيف
- نصيحة
- الكل
- السماح
- يسمح
- و
- هي
- AS
- أسوشيتد
- جمعية
- At
- مهاجمة
- يصادق
- التحقّق من المُستخدم
- ترخيص
- تلقائيا
- سيئة
- BE
- أصبح
- قبل
- ما بين
- كتاب
- بوكينح.كوم
- خرق
- علة
- نساعدك في بناء
- زر
- by
- CAN
- فيزا وماستركارد
- cars
- الحالات
- تسبب
- مما تسبب في
- بالسلاسل
- متغير
- الكود
- COM
- التواصل
- Communication
- حول الشركة
- تماما
- معقد
- حل وسط
- تسوية
- استمر
- متواصل
- ذو شاهد
- استطاع
- الدورة
- خلق
- خلق
- أوراق اعتماد
- ائتمان
- بطاقة إئتمان
- زبون
- بيانات العميل
- العملاء
- غامق
- قراءة مظلمة
- البيانات
- البيانات الاختراق
- عميق
- يعتمد
- تصميم
- تفاصيل
- مختلف
- صعبة
- مباشرة
- مباشرة
- اكتشف
- نطاق
- كل
- إما
- البريد الإلكتروني
- أنشئ
- دليل
- مثال
- القائمة
- استغلال
- استغلال
- جدا
- فيسبوك
- مألوف
- حقل
- مالي
- الاسم الأول
- لأول مرة
- معيب
- العيوب
- تدفق
- في حالة
- Fortune
- وجدت
- احتيال
- احتكاك
- تبدأ من
- محبط
- بالإضافة إلى
- وظيفة
- مستقبل
- ربح
- العلاجات العامة
- يولد
- دولار فقط واحصل على خصم XNUMX% على جميع
- شراء مراجعات جوجل
- الثابت
- يملك
- صحة الإنسان
- تاريخ
- القابضة
- الفندق
- كيفية
- لكن
- HTTPS
- ضخم
- هوية
- فورا
- التأثير
- التنفيذ
- تحقيق
- آثار
- أهمية
- in
- في أخرى
- بما فيه
- معلومات
- داخلي
- ترجمة
- قضية
- مسائل
- IT
- انها
- نفسها
- JPG
- المعرفة
- اسم العائلة
- إطلاق
- قيادة
- يكمن
- LINK
- طويل
- جعل
- يصنع
- يدويا
- كثير
- يعني
- رسائل
- طريقة
- مليون
- تخفيف
- شهر
- الأكثر من ذلك
- علاوة على ذلك
- أكثر
- جديد
- أرقام
- أوث
- of
- on
- ONE
- online
- جاكيت
- تعمل
- الفرصة
- خيار
- مزيد من الخيارات
- أخرى
- أصحاب
- المعلمات
- جزء
- مجتمع
- إذن
- الشخصية
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- نقاط
- فقير
- الرائج
- منشور
- يحتمل
- التفضيلات
- رئيس
- خاص
- المشكلة
- عملية المعالجة
- ملفي الشخصي
- ملامح
- لائق
- الحماية
- بروتوكول
- المقدمة
- ويوفر
- غرض
- وضع
- بسرعة
- عرض
- نادي القراءة
- تسجيل
- إعادة توجيه
- تقليص
- ذات الصلة
- الاجار
- تقرير
- طلبات
- بحث
- الباحثين
- حل
- الاستجابة
- التعليقات
- المخاطرة
- s
- قال
- SALESFORCE
- ملح
- يقول
- سيكريت
- آمن
- أمن
- يبدو
- حساس
- جدي
- الخدمة
- خدماتنا
- طقم
- عدة
- مشاركة
- إشارة
- التوقيع
- الاشارات
- عزباء
- شقيقة
- الموقع
- المواقع
- صغير
- منصات التواصل
- حل
- بعض
- على وجه التحديد
- معيار
- ملخص الحساب
- مسروق
- شركة فرعية
- تحقيق النجاح
- ناجح
- بنجاح
- هذه
- بالتأكيد
- نظام
- أخذ
- استيلاء
- يأخذ
- الحديث
- فريق
- تقني
- تكنولوجيا
- يروي
- سياسة الحجب وتقييد الوصول
- الاختبار
- أن
- •
- سرقة
- من مشاركة
- منهم
- ثلاثة
- عبر
- الوقت
- إلى
- اليوم
- سويا
- رمز
- علاج
- في النهاية
- غير مألوف
- فهم
- غير متوقع
- URL
- تستخدم
- مستخدم
- المستخدمين
- التحقق من صحة
- مختلف
- بواسطة
- Vice President
- ضحية
- رؤية
- الزوار
- الضعف
- طرق
- الويب
- خدمات ويب
- الموقع الإلكتروني
- المواقع
- حسن
- ابحث عن
- التي
- على نحو واسع
- سوف
- مع
- كلمات
- عامل
- سوف
- خاطئ
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت