网络漏洞造成的社会媒体Web服务集成

Kaur小朋友!¹Neha辛格²

M。理工大学的学生,CSE的部门,ITM大学,古尔加翁、哈里亚纳邦,印度
助理教授,部门CSE & ITM大学,古尔加翁、哈里亚纳邦,印度

文摘

整合社交媒体已经成为至关重要的任何公共盈利行业快速发布和达到他们的客户。甚至集成受访者也足够快赶上双手的最新产品。社交媒体整合仅仅意味着Facebook等社交网站按钮的总和(FB)、Twitter、LinkedIn, Google +等等,你的网站的访问次数最多的页面。公司通过社交媒体优化他们的存在在网络域集成和急切地帮助自己有更多的客户接触一个全新的水平。在竞争激烈的时代,每个组织正在寻找社会媒体渠道让他们的产品在数以百万计的网民中流行的跨越快速赚钱的有价值的服务。暂停:我们曾经以为的漏洞访问为了安全威胁的社会媒体渠道被黑客窃取私人信息吗?Web服务参与整合社交媒体应该保护由于漏洞与每个软件组件。

关键字

脆弱性、问责制、易感性、身份验证、授权、优化。

介绍

社交媒体集成web服务已经构成威胁的个人信息被黑客偷了。用户登录的时候要当心或Web服务的应用程序,可以让用户直接登录使用与他的Facebook相关凭证,滚筒,Twitter,或者谷歌账户。OAuth 2.0和OpenID安全流可以被攻击者可以很容易的地方为你的幸福流重定向到恶意网站在任何时间和接管你的个人安全信息为他的罪恶的目的。这是一个使用OAuth 2.0的副作用和OpenID技术创建一个脆弱的使用您的登录Facebook, Google等代表您访问其他网站和服务。以来由于这种缺陷,攻击者/黑客可以为一个用户创建一个错觉,用户通过登录facebook和谷歌&然后将他们重定向到一个恶意网站属于他或另一个黑客。现在,基于的数据访问权限和授权角色,它能暴露你的联系人,好友列表,个人信息以及你的银行细节,或者Google Apps的情况是,它可以盗取图片,存储数据等。雷竞技网页版

这些安全威胁需要领先的在线玩家的注意。Web服务或Android和iOS应用程序可以很容易地访问这些社会渠道,这对他们的帐户允许客户签字的成本上使用他们的凭证黑客造成的安全威胁。如果客户与大公司盲目地信任相关的第三方账户,使用它登录系统与web服务。它确保开发团队的缓解,因为他们不需要让自己的授权系统。而不是,他们只依赖于安全由OAuth 2.0提供了一个开源的开发协议。这样客户可能会变得容易在线攻击者的目标。

二世。文献调查

在[1]的作者提到,社会媒体集成比任何其他更复杂的系统集成。原因是它连接世界各地的用户在数十亿美元。它生长和穿透深度的土块环境脆弱性增加。

[8]中作者提到社交媒体Facebook提供了其集成API等各种全球网站Time.com, Pandora.com和ESPN.com等一些问题在Facebook API为开发人员和导致返工为Facebook开放图谱铺平了道路,使得API不受欢迎。几个安全问题包括:暴露隐私从用户朋友允许Facebook用户获得当前用户的网上个人事件。他们还可以看到等待朋友的请求,在线聊天信息等。Facebook的开发者有更多的控制在用户数据包括公共信息的用户和朋友。概要文件更容易搜索。

三世。安全漏洞

安全漏洞不仅仅只是OAuth本身的敏感性;也是大公司的责任,他们如何实现OAuth 2.0。神奇动物,例如,总是显示它的开发者团队,他们应该有效地关闭协议漏洞通过限制使用安全url重定向。但许多开发人员不使用它。经常是,大公司可能不会照顾为每个请求实施安全措施。大公司正致力于安全社交媒体集成,同时意识到使用Web服务的安全问题。OAuth 2是一个协议,它允许应用程序与社交媒体交互的api。

公司所做的调查,到目前为止确定的安全威胁的领域第三方门户和他们建议受害者马上报告第三方供应商的问题,相反,他们需要问开发人员考虑这个严重的问题。直到有一个修复提供这些大公司,你需要非常小心当应用程序或网站要求你通过社交媒体连接通道。需要注意的,如果你浏览一个网站&有闪烁的请求登录社交媒体账户时你不期待同样的,最好进一步退后,不要继续。

今天许多web服务允许用户重置密码。通常您需要提供您的用户名和一些安全问题的答案。有时这些问题是非常简单的:“你在哪里去小学吗?”、“你的出生日期是什么?”,“你母亲的婚前姓是什么?”等这些信息可以很容易从你的社会媒体集成。这种将允许攻击者窃取正确回答简单的安全问题,然后重置帐户。一旦帐户妥协可能是用于生成其他有用的信息或者错误地发送垃圾邮件和联系的朋友。

因为数以百万计的用户目前活跃在互联网通过各种社交媒体渠道是相当高的时候,他们的信息可以很容易地黑客窃取,因为即使是一个小小的漏洞在web服务集成。

四、单点登录的问题

在这个社交网络和软件即服务(SaaS)的时代,基于网络的单点登录(SSO)所提供的设施现在很多商业网站安全,提供了许多web资源SSO。形式验证过程中经验丰富的研究工作已经结束了,但是只有少数科学家们分析和报道的威胁安全质量差的SSO政策公开的商业部署在实时网站。这种类型的分析等总是面对的技术挑战包括缺乏良好的代码和协议,还丰富复杂的浏览器元素。

单点登录(SSO)今天在主要电子商务领域广泛用于改善用户体验。在最近的一项调查,大多数网站提供的web用户更喜欢SSO立即访问不同的应用程序的web资源。单点登录(SSO)是一种利用资源的多个网站拥有自主的端到端软件系统。用这个设备用户提示做一次登录,他获得了访问所有的系统和网络资源,节约时间对每一个网站都是经过身份验证的。这种类型的安全管理通过使用轻量级目录访问协议(LDAP) &存储LDAP服务器上的数据库中。保存Cookie是另一种方法来管理单点登录功能,如果网站在同一领域。

另一方面,单签署终止用户访问多个系统的反向特性如果用户简单的迹象。一个更好的方法应该使用单点登录功能,它在内部存储加密的身份验证凭据访问不同系统除了最初的身份验证和授权管理。还有一些其他的可用共享OpenID身份验证机制,包括安全特性,OAuth, OpenID连接,和facebook Connect,这要求用户登录使用的凭证每当他们想要访问一个不同的系统或应用程序。以来的单点登录机制最初用户登录凭据访问多个资源,他可能会滥用入侵,因为安全威胁。因此,SSO功能需要改进,保护用户凭证,&应该,应该合并建立的身份验证机制,例如一次密码令牌,智能卡等。

SSO通常使得身份验证系统非常关键,因为有时它的可用性可能会导致无法理解的所有的系统利用单点登录机制。另外单点登录可能与会话故障转移配置安全(SFS)为了保持系统操作流利。

诉公司采取了措施以减少安全漏洞

按照研究已经显示,公司正在修改他们的安全模型,该模型考虑了共享信息和微博在社交网络。有风险的使用和社会媒体渠道可以与web服务集成在一个或多个安全漏洞往往并不承认。公司教育客户保持警惕可能发生什么,可以采取的预防措施。他们甚至是指导人们,让他们相信互联网不是一个私人的地方。一些大的像Google这样的巨头,亚马逊通知用户的优势和社交网站的风险。一般的年轻用户更脆弱,他们应该照顾的信息共享网络非常谨慎。旗下的一个立法法律需要再次被设计来保护网上个人信息,并定义并保护数据所有权和行为在网络环境中。

公司已经确定了一些危险的风险应该被照顾的。他们已经开始提供一些关于使用社会媒体的指导方针。雷竞技官网免责声明策略需要接受用户遵守可接受的使用政策虽然浏览社交媒体通过公司帐户凭据。除了通过单点登录社交媒体访问的帮助下已经封锁了部分代理服务器和下一代防火墙。技术解决方案应该由开发商提供捕捉信息,邮件和聊天的社交媒体,尤其是那些紧密集成到社交网站。

六。结论

当今世界认为,社交媒体的使用是一个重要的任务。但他们不了解它背后的安全风险社会媒体的影响,即会发生什么,它能造成多少伤害。与web服务集成的社交媒体已经多次穿上扔由于安全漏洞的通道可以吸引攻击者。尽管社交媒体整合确实是一个有益的插件到你的网站可以生成更多的流量和帮助搜索引擎优化)。然而过量的社交媒体小部件将离开你的网站在一个混乱的状态,让用户很生气。参与用户的信息检索web服务集成可能很容易被黑客偷了他们的个人使用。

引用

Elisa Bertino、安全Web服务和面向服务的体系架构,施普林格,2010年。
乔迪•Mardesich,一个广泛的安全缺陷允许黑客窃取信息的人使用社交媒体登录,5月4日,2014年。社会由维基百科登录信息。
通过维基百科Outlook.com信息。
乔迪•Mardesich, facebook connect和其他社会登录可以暴露你黑客,5月4日,2014年。
坦率的吴,社交网络的风险,赛门铁克安全响应
RuiWang,签名我到你账户通过facebook和谷歌,交通引导安全研究商业web服务部署SSO。
罗伯特•Shullich风险评估的社会媒体,2011年12月5日。
Priidu Tammeorg,社交媒体集成到一个Web服务。Vifi.ee的情况下,2011年