「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目した脅威モデル。 詳細 †Authorization code †主に、code漏洩にフォーカスした内容。 Implicit †主に、access_token漏洩にフォーカスした内容。 Resource Owner Password Credentials †主に、サインイン・プロセスの問題にフォーカスした内容。 Client Credentials †Resource Owner Password Credentialsで説明したものと同様だが、 参考 †ネットでピックアップされていたもの。 全グラント種別共通 †影響 †Clientを用いた攻撃が可能になる。
攻撃 †
対策 †
Authorization Codeグラント種別 †codeの置換・注入(CSRF) 影響 †
攻撃 †codeを収集し、置換・注入(CSRF)の攻撃を行う。
対策 †
参考 †CSRF †Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth |