gpt4 book ai didi

security - OpenID 安全 - 虚假 OpenID 重定向

转载 作者:行者123 更新时间:2023-12-03 06:27:17 27 4
gpt4 key购买 nike

我试图弄清楚接受 OpenID 登录的网站如何无法通过简单的主机文件更新来指向伪造的 OpenID 提供商。

假设我想侵入 Joe Smith 的帐户,在这个例子中,假设他的 OpenID 提供商是 http://jsmith.myopenid.com 。什么会阻止我在主机文件中创建条目,将 jsmith.myopenid.com 指向我控制的 IP。然后我会伪造身份验证并返回一个响应,表明用户已成功登录。

我知道浏览器中会有 SSL 不匹配警告,但由于这是我的浏览器,我可以轻松忽略它。请求网站如何知道它收到的响应实际上来自所请求的网站?

这似乎是一个基本的攻击,我确信背后的人已经为此提供了解决方案,我只是不能通过搜索正确的术语来找到答案。

最佳答案

依赖方在身份验证之前(建立用于在 OpenID 提供商的响应上放置 HMAC 的共享 key )或身份验证之后(要求其确认响应实际上来自 OpenID 提供商)直接联系 OpenID 提供商)。

为了让您的攻击发挥作用,您还需要能够控制依赖方的 DNS 查找,而不仅仅是您自己的 DNS 查找。

关于security - OpenID 安全 - 虚假 OpenID 重定向,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4743739/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com