マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目した脅威モデル。

Authorization code

主に、code漏洩にフォーカスした内容。

Implicit

主に、access_token漏洩にフォーカスした内容。

Resource Owner Password Credentials

主に、サインイン・プロセスの問題にフォーカスした内容。

Client Credentials

Resource Owner Password Credentialsで説明したものと同様だが、
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。

参考

ネットでピックアップされていたもの。

全グラント種別共通

影響

Clientを用いた攻撃が可能になる。

攻撃

対策

Authorization Codeグラント種別

codeの置換・注入(CSFR)

影響

攻撃

codeを収集し、置換・注入(CSFR)の攻撃を行う。

対策


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS