常见OAuth漏洞:未验证token

admin
admin
admin
0
文章
0
评论
2026-01-23 10:49:06 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文深入剖析了OAuth链接功能中的未验证Token漏洞。由于服务端未校验shortTermAccessToken,攻击者利用公开的facebookId即可将受害者Facebook账户绑定至自身账号。该漏洞导致受害者正常登录时被重定向至攻击者账户,引发数据窃取或恶意下单风险。文章提供了详细的复现步骤,建议开发者严格验证Token以修复此逻辑缺陷。 综合评分: 92 文章分类: WEB安全,漏洞分析,渗透测试

cover_image

常见OAuth 漏洞:未验证token

原创

Pwn1 Pwn1

漏洞集萃

2026年1月21日 22:38 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用,禁止用于任何非法用途。

| | | — | | 原文链接 https://brbr0s.medium.com/broken-oauth-linking-94308b7d423e |

目标网站存在一个 OAuth 链接功能,目标网站主要功能包括采购和运输流程。

在针对目标搜集信息的时候发现其具有连接到 Facebook 这一功能;该功能主要是将用户的帐户与提供的 Facebook 帐户关联,使用户无需输入 email:passwor

随后运行该功能并且使用 Burp 抓包,发现了请求如下:

{"facebookId":"122109215XXXXXXXXX","shortTermAccessToken":"access_token"}

这是 OAuth 机制的一种,通过将用户的 Facebook 个人资料与用户在另一个应用程序上的帐户关联起来的方式。该应用程序会向 Facebook 请求用户的唯一 facebookId 和一个特殊的临时短期 shortTermAccessToken

这些信息构成 key:token 对,用于验证用户的身份,从而允许应用程序连接到用户的 Facebook 个人资料。

而这个 facebookId 是公开的,并且在各种 Facebook 集成平台上都很常见,因此相对容易获取。

通过分析流量发现中间可能没有对 shortTermAccessToken 进行验证之后,尝试修改 shortTermAccessToken

{"facebookId":"122109215XXXXXXXXX","shortTermAccessToken":"dummy"}

再次发送修改后的请求发现响应 200

即该应用程序根本没有将 shortTermAccessToken 令牌与提供的 facebookId 进行验证。

这个漏洞就类似于 只使用受害者的电子邮件地址就能登录网站,而无需密码

这意味着可以利用受害者的 FacebookfacebookId 帐户与攻击者自己的帐户关联起来,当受害者尝试使用“使用 Facebook 登录”登录时,其将被登录到攻击者控制的帐户

通过再次创建一个新的账号按照上述提到的再次操作:

{"facebookId":"122107214XXXXXXXXX","shortTermAccessToken":"dummy"}

响应如下:

200 OK

随机发现,即使 Facebook 帐户已经与其他用户帐户关联,执行此操作后,该网站也会将受害者的 Facebook 帐户与其帐户解除关联,并将其与攻击者的帐户关联(最新创建的的一个平台用户)。

重现步骤:

  1. 攻击者使用邮箱/密码创建一个普通账户。
  2. 攻击者拦截了 Facebook 链接请求。
  3. 将 facebookId 替换为已知的受害者 ID(该 ID 已公开)。
  4. 发送带有 payload 的请求。
  5. Facebook ID 与受害者的原始帐户解除关联,并绑定到攻击者的帐户。
  6. 受害者通过 Facebook 正常登录 -> 却被重定向到攻击者的账户

影响

当受害者像往常一样使用 Facebook OAuth 登录时,他们实际上登录的是攻击者的帐户,因为该 Facebook ID 现在已与攻击者的帐户关联。

  • 攻击者可以预先填写其账户信息,例如:他们自己的收货地址
  • 受害者执行的任何操作(例如下单添加银行信息)都会保存到攻击者的帐户中,而不是他们自己的帐户中。

觉得本文内容对您有启发或帮助? 点个关注➕,获取更多深度分析与前沿资讯!

👉 往期精选

信息收集最强OSINT姿势:Google一搜,全球程序员的密码、API Key、邮箱全裸奔

API 渗透实战:从 JSON 响应倒推隐藏的高危路由

【漏洞挖掘Tips】关于头像上传存储在s3的漏洞挖掘方法

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:漏洞集萃 Pwn1 Pwn1《常见OAuth 漏洞:未验证token》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
多一条路,少一份焦虑 网络安全文章

多一条路,少一份焦虑

文章总结: 文章指出22-35岁职场人常因‘一眼望到头’而焦虑,建议别只依赖单一技能与工龄,应利用碎片时间跨界学习写作、短视频等可迁移技能,发展副业、拓展人脉,
01-230 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0