注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网络新势力

关注互联网,研究互联网,学习互联网,参与互联网——做一个互联网人

 
 
 

日志

 
 
关于我

姓名:何直群 网名:腾龙 职业:网站策划、BS程序开发(ASP\PHP) 介绍: 网站程序员(ASP & PHP)、网站构架与策划人,长期关注互联网的发展。曾就职于通信世界网(非记者)、盛大网络北京分公司、互联网观察中心、宝利亚洲。现就职与265负责网站联盟产品相关工作。曾创办过新农在线(已停)、我摘(www.wozhai.com)等网站…… ---------- 腾龙博客好友请加: QQ群:3347162 MSN群:group137861@xiaoi.com -----------

网易考拉推荐

openid 安全吗?  

2006-11-22 13:35:11|  分类: 网络技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

openid是一个开放的SSO(单点登录)项目,他的作用主要是帮助用户通过一次登陆,实现在很多应用上的自动登陆。因为没有看到详细的技术实现资料,所以以下的推测也许有问题。

OPENID的协议,从openidenabled的资料翻译来看是这样一个流程:

1、用户把自己的单点登陆域名(如:tenglong.sohu.com)提交给自己需要登陆的网站(如:blog.sohu.com)
2、网站读取接受到的域名,获得用户的身份验证服务器地址;
3、网站将用户重定位到身份验证服务器,
4、身份验证服务器向用户确认是否该网站是否用户要登陆的网站;
5、如果得到用户确认,则身份验证服务器携带认证信息,将用户重定向到网站。
6、网站通过认证信息,确定用户的身份。

下边讲一下如何 HACK 此协议:

假设我们想冒充用户(tenglong.sohu.com)

1、模拟上边的步骤(2),获得这个用户的身份验证服务器;
2、自己建立一个DNS,将刚获得的身份验证服务器的解析修改为我们可以控制的一个服务器;
3、我们以(tenglong.sohu.com)的身份登陆任何一个服务;
4、当步骤进入第(3)步的时候,身份验证服务器就已经是我们控制的服务器了;
5、我们自己控制的服务器,附加一个伪造的用户身份确认信息,重定向到服务网站;
6、服务网站根据我们伪造的身份确认信息,确定了我们是我们需要冒充的用户(tenglong.sohu.com)

——————————

再次申明:因为本人无法掌握OPENID的详细协议内容,所以无法知道协议中是否还有其他验证过程来规避以上漏洞。如果有掌握详细协议的朋友,请给我一份,URL地址也可以。

  评论这张
 
阅读(197)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017