Pencurian token OAuth akun Microsoft melalui open redirect di aplikasi Harvest

 (eval.blog)
1 poin oleh GN⁺ 2023-10-23 | 1 komentar | Bagikan ke WhatsApp
  • Artikel ini membahas kerentanan pada Harvest, perangkat lunak pelacakan waktu yang memungkinkan pengguna menghubungkan kalender Outlook mereka melalui OAuth.
  • Kerentanan ini memungkinkan token OAuth dari akun Microsoft yang terhubung dicuri melalui open redirect di Harvest.
  • Setelah otorisasi berhasil dilakukan, pengguna diarahkan ke URL yang kemudian mengalihkan pengguna lagi ke URL yang disediakan di dalam state. Hal ini menyebabkan terjadinya open redirect.
  • Open redirect dapat digunakan untuk mencuri access token melalui implicit grant.
  • Kerentanan ini ditemukan setelah berhasil terhubung ke kalender Outlook menggunakan aplikasi OAuth.
  • Kombinasi open redirect dan alur implicit grant membocorkan access token ke URL tujuan pengalihan.
  • Tim Harvest lambat merespons pengungkapan kerentanan ini, dan butuh 3 tahun untuk menyelesaikan masalah tersebut.
  • Perusahaan mengakui kerentanan ini, tetapi tidak memberi tahu pelapor saat masalah tersebut telah diperbaiki.
  • Laporan ini dipublikasikan secara terbuka pada 21 Oktober 2023.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-23
Komentar Hacker News
  • Pengelola program bug bounty menjelaskan bahwa mereka tidak dapat mereproduksi masalah tersebut sepenuhnya, dan karena kebingungan internal mereka mengira masalahnya sudah diselesaikan.
  • Pengguna aplikasi Harvest menyampaikan kekhawatiran tentang kemampuan engineering perusahaan, dengan mengutip minimnya fitur baru dan kerentanan yang memungkinkan inferensi pelanggan aktif.
  • Seorang komentator menunjukkan bahwa RFC 6749 menjelaskan secara rinci cara mencegah jenis serangan ini, dan mempertanyakan mengapa aplikasi Harvest tidak mendaftarkan redirect_uri yang berbahaya.
  • Komentator lain mengkritik bahwa judulnya tidak adil terhadap Microsoft, dengan berargumen bahwa token tersebut milik Harvest dan eksposurnya disebabkan oleh kerentanan dalam kode Harvest.
  • Implicit grant dikritik karena alasan yang ditunjukkan dalam postingan tersebut, disertai catatan bahwa ini akan dihilangkan dari spesifikasi OAuth 2.1 yang akan datang.
  • Seorang komentator menyatakan keterkejutannya bahwa butuh tiga tahun (Agustus 2020 - Agustus 2023) untuk memperbaiki kerentanan tersebut.
  • Seorang komentator meminta pakar OAuth untuk menjelaskan masalah ini lebih rinci, karena ia kesulitan memahami kerentanannya.
  • Seorang komentator mempertanyakan mengapa masalah ini tidak diberitahukan kepada Microsoft, dan menyarankan bahwa akses ke aplikasi OAuth bisa dicabut sampai masalahnya diperbaiki.
  • Seorang komentator mempertanyakan mengapa perusahaan menunggu tiga tahun untuk menyelesaikan masalah ini, dan berpendapat bahwa 90 hari sudah cukup sebelum mengungkapkannya ke publik.
  • Seorang komentator mengkritik Hackerone karena mengizinkan perusahaan yang mengabaikan masalah seperti ini selama tiga tahun.