近日，在新加坡召开的全球信息安全顶级年度盛会Black Hat Asia 2019（2019亚洲黑帽大会）上，来自深信服安全团队联合香港中文大学共同开展的关于“单点登录的账号安全研究”工作成功入选大会报告。在“Make Redirection Evil Again： URL Parser Issues in OAuth”这个议题中，深信服安全研究员分享了多个浏览器及代码库的URL解析漏洞，黑客通过这些漏洞能够直接控制用户账号，影响数十亿用户的账号安全。深信服安全团队希望通过此项研究，能够让业界认识到目前账号系统的脆弱性，从而为广大用户提供更加安全的服务。

关于 Black Hat

Black Hat是国际安全工业界的顶级会议之一，具有广泛的影响力。Black Hat每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会，会议展示最前沿的安全学术研究及技术创新成果，促进行业交流而享誉全球。值得注意的是，大会每届都会收到数百篇来自全球学者和安全专家的论文投稿，而录取的比例只有不到20%。只有最具有创新性和显著价值的安全研究才能通过严苛评审入选会议。

此次深信服安全团队入选Black Hat Asia, 介绍了单点登录的重定向漏洞。众所周知，目前互联网过度依赖于密码，而密码泄露事件层出不穷。单点登录为这种情況提供了部分解決方案：用户可以利用社交网站（如Facebook、谷歌、新浪、腾讯、百度等）来登录第三方网站或应用（如优酷、饿了么等），从而减少登录账号及密码。鉴于其高效简易的用户体验，目前每天都有数以亿计的互联网用户采用单点登录服务，单点登录的安全性对于用户的上网安全也变得越来越重要。

单点登录涉及社交网站、第三方应用、及浏览器（用户）之间的合作及协调，涉及到多次重定向，技术较为复杂。本次研究发现了多个主流浏览器的URL解析漏洞及社交网站使用的URL解析漏洞，从而使得黑客可以利用重定向，直接获取单点登录的令牌并控制用户的账号。黑客在控制了用户账号后，可以直接浏览用户在社交网络上的资料，也可以使用用户在第三方应用的账号，进行恶意活动，比如：通过用户信用卡，预定酒店；浏览用户行程；访问用户私密照片等等。

通过研究全球50个主要社交网站，深信服发现其中11个社交网站存在相关漏洞。尤其国内的社交网站更是其中的重灾区。本次的研究结果已经全部反馈给相应受影响的厂商，大部分漏洞已被修复，提前为数十亿用户解决安全威胁。

目前，该研究团队已经在三届Black Hat 大会上发表过论文（BlackHat USA’14, BlackHat Europe’16, BlackHat Asia’19），既是对深信服安全技术新探索的成果展示，也是对深信服作为国内一流安全厂商的技术积累能力的再次肯定。未来，深信服将不断在安全领域进行技术探索，帮助更多用户面向未来，有效保护！