- 본 기사는 사용자가 OAuth를 통해 자신의 Outlook 캘린더를 연결할 수 있게 해주는 시간 추적 소프트웨어인 Harvest의 취약점에 대해 논의합니다.
- 이 취약점은 Harvest의 오픈 리다이렉트를 통해 연결된 Microsoft 계정의 OAuth 토큰을 도난당할 수 있게 했습니다.
- 권한 부여가 성공적으로 이루어지면, 사용자는 상태 내에 제공된 URL로 사용자를 추가로 리다이렉트하는 URL로 리다이렉트됩니다. 이로 인해 오픈 리다이렉트가 발생합니다.
- 오픈 리다이렉트는 암시적인 허가를 통해 액세스 토큰을 도난당하는 데 사용될 수 있습니다.
- 이 취약점은 OAuth 애플리케이션을 사용하여 Outlook 캘린더에 성공적으로 연결한 후에 발견되었습니다.
- 오픈 리다이렉트와 암시적 허가 흐름이 결합되어 리다이렉트된 URL로 액세스 토큰을 유출시킵니다.
- Harvest 팀은 취약점 공개에 대한 반응이 느렸으며, 이 문제를 해결하는 데 3년이 걸렸습니다.
- 회사는 취약점을 인정했지만, 해결되었을 때 보고자에게 알리지 않았습니다.
- 이 보고서는 2023년 10월 21일에 공개적으로 공개되었습니다.
Hacker News 의견
- 버그 바운티 프로그램 관리자는 이슈를 완전히 재현하지 못했으며, 내부 혼선으로 이슈가 해결되었다고 생각했다고 설명한다.
- Harvest 앱 사용자는 새로운 기능 부족과 활성 고객 추론을 허용하는 취약점을 인용하여 회사의 엔지니어링 능력에 대해 우려를 표현한다.
- 한 댓글러는 RFC 6749가 이러한 유형의 공격을 방지하는 방법을 자세히 설명하고 있음을 지적하며, Harvest 앱이 악의적인 redirect_uri를 등록하지 않은 이유를 의문시한다.
- 또 다른 댓글러는 제목이 Microsoft에 대해 불공평하다고 비판하며, 토큰은 Harvest의 것이었고 노출은 Harvest 코드의 취약점 때문이었다고 주장한다.
- 게시물에서 보여진 이유로 인해 암시적 부여가 비판을 받으며, 이는 다가오는 OAuth 2.1 사양에서 생략될 것이라는 메모와 함께 제시된다.
- 한 댓글러는 취약점을 수정하는 데 세 년 (2020년 8월 - 2023년 8월)이 걸렸다는 사실에 충격을 표현한다.
- 한 댓글러는 OAuth 전문가에게 이 문제를 더 자세히 설명해달라고 요청하며, 취약점을 이해하는 데 어려움을 겪고 있다.
- 한 댓글러는 왜 이 문제가 Microsoft에게 알려지지 않았는지 의문을 제기하며, 문제가 해결될 때까지 OAuth 애플리케이션에 대한 접근을 취소할 수 있었다고 제안한다.
- 한 댓글러는 왜 회사가 이 문제를 해결하는 데 세 년을 기다렸는지 의문을 제기하며, 이를 공개하기 전에 90일이면 충분하다고 주장한다.
- 한 댓글러는 Hackerone이 이런 문제를 세 년 동안 무시하는 회사를 허용하는 것을 비판한다.