elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Encuentran vulnerabilidad en OAuth y OpenID
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Encuentran vulnerabilidad en OAuth y OpenID  (Leído 1,350 veces)
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Encuentran vulnerabilidad en OAuth y OpenID
« en: 19 Julio 2010, 14:36 pm »

Los protocolos como Oauth o OpenID nos simplifican la identificación en la red pero, a medida que crece su adopción y popularidad, se vuelve necesario implementar más medidas de seguridad. Ese es el mensaje que nos deja el hallazgo de una vulnerabilidad en estos mecanismos, que permite iniciar sesión sin la intervención del usuario, pudiendo afectar incluso a los servicios de grandes de la red, como Twitter, Google o Facebook.

Se trata de la conocida pero compleja técnica timing attack, implementada en este caso por los investigadores Nate Lawson y Taylor Nelson, que se basa en el tiempo demorado por un servidor para validar los tokens intercambiados. Como los errores son devueltos apenas se detecta un caracter incorrecto, un logueo inválido será más veloz que uno legítimo. Esto hace posible enviar distintas cadenas y determinar su validez gracias a la duración del proceso.

Aunque parece imposible gracias a los diversos parámetros que afectan el tiempo de respuesta de cualquier sitio, como el jitter, Lawson y Nelson aseguraron que pudieron ejecutar estos ataques en distintos entornos. Por ejemplo, de esta misma manera fue hackeada la Xbox 360.

¿Debe cundir el pánico? No. Los propietarios de las webs afectadas ya recibieron una notificación de este inconveniente, y ahora deberán modificar sus códigos para introducir un retardo cuando envían mensajes de error, así estos demoran tanto como las autenticaciones correctas.

Pero de todas formas, deja una enseñanza importante para otras plataformas que consisten en mecanismos similares, al igual que para todo servicio donde la protección de las contraseñas es un detalle crucial, como bancos o tarjetas de crédito.

Fuente:http://bitelia.com/2010/07/encuentran-vulnerabilidad-oauth-openid


En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Encuentran 40 vulnerabilidades en el núcleo de Ubuntu 10.04
Noticias
wolfbcn 0 1,871 Último mensaje 7 Marzo 2011, 21:31 pm
por wolfbcn
OpenID Connect
Desarrollo Web
asaranblin 0 1,656 Último mensaje 28 Agosto 2015, 05:43 am
por asaranblin
Encuentran una nueva y peligrosa vulnerabilidad en los documentos de Microsoft..
Noticias
wolfbcn 0 5,026 Último mensaje 29 Octubre 2018, 21:35 pm
por wolfbcn
Obsolescencia programada: encuentran una vulnerabilidad en chips que te fuerza..
Noticias
wolfbcn 1 1,218 Último mensaje 18 Diciembre 2018, 09:01 am
por buite
Encuentran grave vulnerabilidad en aplicación de cámara Android
Noticias
wolfbcn 0 1,620 Último mensaje 20 Noviembre 2019, 14:38 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines