Mentionsy

✈️ Drobna luka uwierzytelniania na Booking.com

Kilka dni temu badacze znaleźli taką maciupeńką lukę w serwisie Booking.com, którego raczej nikomu przedstawiać nie trzeba. Na tyle drobną, że pozwalała na pełne przejęcie konta dowolnej osoby, która logowała się do bookingu za pomocą Facebooka.

Źródło:

https://bit.ly/3F1BA3D

#Booking #uwierzytelnianie #OAuth #facebook

https://www.youtube.com/watch?v=Y493oxL-tfU

Kilka dni temu badacze znaleźli taką maciupeńką lukę w serwisie booking.com, którego raczej nikomu przedstawiać nie trzeba. Na tyle drobną, że pozwalała na pełne przejęcie konta dowolnej osoby, która logowała się do bookingu za pomocą Facebooka. Standardem w takich sytuacjach jest wykorzystanie protokołu OAW, który tutaj został po prostu zaimplementowany niepoprawnie. Problem leżał w procesie przekierowania pomiędzy żądaniami serwisu uwierzytelniającego, a bookingiem. Badaczom udało s...