在Auth0 Identity Platform中发现身份验证绕过漏洞

Auth0这可能会允许恶意攻击者访问任何使用Auth0服务进行身份验证的门户或应用程序。

Auth0为许多平台提供基于令牌的身份验证解决方案，包括将社交媒体身份验证集成到应用程序中的能力。

Auth0拥有2000多家企业客户，每天管理4200万次登录，每月有数十亿次登录，是全球最大的身份识别平台之一。
2017年9月，安全公司Cinta Infinita的研究人员在测试一个应用程序时，发现Auth0中存在一个漏洞（CVE-2018-6873）遗留锁API，由于JSON Web令牌（JWT）访问群体参数的验证不正确而存在。

研究人员成功地利用这个问题绕过登录身份验证，对通过Auth0身份验证运行的应用程序进行了简单的跨站点请求伪造（CSRF/XSRF）攻击。

Auth0的CSRF漏洞（CVE-2018-6874）允许攻击者重用为单独帐户生成的有效签名JWT，以访问目标受害者的帐户。

为此，攻击者只需要受害者的用户ID或电子邮件地址，这可以通过简单的社会工程技巧获得。

袭击的视频演示

该安全公司于2017年10月向Auth0安全团队报告了该漏洞。该公司行动迅速，在不到4小时的时间内解决了这个弱点。

然而，由于易受攻击的SDK和受支持的Auth0库已在客户端实现，Auth0在公开披露此问题之前，花了将近六个月的时间与每个客户联系并帮助他们修复此漏洞。

Auth0团队在其咨询报告中表示：“与Cinta Infinita发现的特例修复不同，如果不迫使我们的客户升级其端的库/SDK，这个问题就无法解决，这是一项更重要的任务”。

该公司通过广泛重写受影响的库并发布其SDK的新版本（auth0.js 9和Lock 11），缓解了这些漏洞。

Cinta Infinita还等待了六个月才公开该漏洞，这给了Auth0团队足够的时间来更新他们所有的私有SaaS设备（内部部署）。

这家安全公司现在发布了一段概念验证（PoC）视频，演示了他们如何通过伪造身份验证令牌获得受害者的用户id，并在登录Auth0的管理仪表板时绕过密码身份验证。