我正在试图弄清楚接受OpenID登录的网站如何不被简单的主机文件更新攻击,以指向虚假的OpenID提供程序。
让我们说比如我想破解Joe Smith的帐户,对于这个例子,我们假装他的OpenID提供者是http://jsmith.myopenid.com。什么会阻止我在我的hosts文件中创建一个条目,将jsmith.myopenid.com指向我控制的IP。然后我会伪造身份验证并返回一个回复,说明用户已成功登录。
我知道浏览器中会出现SSL不匹配警告,但由于这是我的浏览器,我可以轻易忽略它。请求网站如何知道它收到的响应实际上来自所请求的网站?
这似乎是一种基本的攻击,而且我确信背后的人已经为此提供了解决方案,我一定不能在正确的条件下搜索以找到答案。
答案 0 :(得分:3)
依赖方在验证之前直接联系OpenID提供商(建立用于将HMAC置于OpenID提供商的响应上的共享密钥)或验证之后(要求其确认响应实际来自OpenID提供商) )。
要使您的攻击有效,您还需要能够控制依赖方的DNS查找,而不仅仅是您自己的查找。