OAuth の欠陥「Covert Redirect」は Heartbleed より胸を打つ?~~バグのロゴを作ることで、その重要性が高まるわけではない(The Register) | ScanNetSecurity
2026.07.05(日)

OAuth の欠陥「Covert Redirect」は Heartbleed より胸を打つ?~~バグのロゴを作ることで、その重要性が高まるわけではない(The Register)

彼は「どのようにして、このトリックが Facebook での OAuthの実装に適用されるか」を実演した。Facebook、Google、Yahoo、そして Microsoft を含めた OAuth 2.0 のウェブサイトが影響を受ける、と Jing は語っている。

国際 TheRegister
【動画】Google OpenID Covert Redirect Vulnerability

つい先日に報告された OAuth の新たな「脆弱性」は、どうやら「脆弱性とは違うもの」であるようだ。

この不親切な評価は、セキュリティ専門家たちによって下されたものである。それは、Heartbleed の脆弱性(管理者たちが先を争ってウェブサイトを修復したのも当然であるほど、甚大な非常事態を引き起こした脆弱性だった)と、この「Covert Redirect」と呼ばれる欠陥とが、一絡げとなって見出しを賑わせたことを受けての評価だった。

この欠陥は土曜日(編集部註:2014 年 5 月 3 日)、Nanyang Technological University の PhD の学生、Wang Jing によって報告された。彼は、攻撃者がこの欠陥を利用してユーザーにフィッシングを行い、トークンを取得する手法を説明した。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  5. メールサーバへ不正アクセス、佐渡トキファンクラブ会員4,111名のメールアドレスが漏えいした可能性

    メールサーバへ不正アクセス、佐渡トキファンクラブ会員4,111名のメールアドレスが漏えいした可能性

ランキングをもっと見る
PageTop