マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目した脅威モデル。

詳細

Authorization code

主に、code漏洩にフォーカスした内容。

Implicit

主に、access_token漏洩にフォーカスした内容。

Resource Owner Password Credentials

主に、サインイン・プロセスの問題にフォーカスした内容。

Client Credentials

Resource Owner Password Credentialsで説明したものと同様だが、
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。

参考

ネットでピックアップされていたもの。

全グラント種別共通

影響

Clientを用いた攻撃が可能になる。

  • Clientなりすまし(偽装)
  • 悪意のあるClientの登録

攻撃

  • Clientなりすまし(偽装)
    • client_idを盗んで、特定のClientになり済ますことができる。
    • これにより、攻撃用のClientを使用した攻撃が可能になる。
  • 悪意のあるClientの登録
    • する場合、悪意のあるClientが登録できる。
    • Clientを利用してcodeやtokenを盗むことができる。

対策

  • Clientなりすまし(偽装)
    クライアント認証、redirect_uri 検証
  • 悪意のあるClientの登録
    クライアントの登録機能をサポートしない。

Authorization Codeグラント種別

codeの置換・注入(CSRF

影響

  • 置換
    他人のaccess_tokenを取得できる可能性がある。
  • 注入(CSRF
    自分のaccess_tokenで他のユーザが操作を行える。

攻撃

codeを収集し、置換・注入(CSRF)の攻撃を行う。

  • 置換
    • 自分のClientを使用して、他人のcodeを収集する。
    • 他人のcodeを収集して、自分のフロー中に埋め込む(置換)。
  • 注入(CSRF
    • 攻撃対象のClientを使用して、自分のcodeを収集する。
    • 自分のcodeを収集して、他人のフロー中に埋め込む(注入(CSRF))。

対策

  • 置換
    クライアント認証、redirect_uri 検証に対策を施す。
  • 注入(CSRF
    ClientにCSRF対策を施す。

    認可エンドポイントへ遷移する際にstateパラメタを付与する。
    そして、Redirectエンドポイントでstateパラメタをチェックする。

参考

CSRF

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-05-07 (木) 16:27:43 (94d)