「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth 2.0 Threat Model and Security Considerations]]

* 目次 [#ff55f5a3]
#contents

*概要 [#i38da113]
[[OAuth 2.0 Threat Model and Security Considerations]]のFlowに着目した脅威モデル。

* [[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)]] [#v5721a5d]
*詳細 [#v7dfc52f]

**[[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)]] [#v5721a5d]
主に、code漏洩にフォーカスした内容。

*[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f86d5264]
**[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f86d5264]
主に、access_token漏洩にフォーカスした内容。

*[[Resource Owner Password Credentials>OAuth 2.0 Threat Model (Resource Owner Password Credentials Flow)]] [#z7c59f6c]
**[[Resource Owner Password Credentials>OAuth 2.0 Threat Model (Resource Owner Password Credentials Flow)]] [#z7c59f6c]
主に、サインイン・プロセスの問題にフォーカスした内容。

*Client Credentials [#ibd7170f]
**Client Credentials [#ibd7170f]
[[Resource Owner Password Credentials>#z7c59f6c]]で説明したものと同様だが、~
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。

*参考 [#lc5dc6c9]
ネットでピックアップされていたもの。

**全グラント種別共通 [#c3d7e21e]

***影響 [#lbec317f]
Clientを用いた攻撃が可能になる。
-Clientなりすまし(偽装)
-悪意のあるClientの登録

***攻撃 [#gc415695]
-Clientなりすまし(偽装)
--client_idを盗んで、特定のClientになり済ますことができる。
--これにより、攻撃用のClientを使用した攻撃が可能になる。

-悪意のあるClientの登録
--する場合、悪意のあるClientが登録できる。
--Clientを利用してcodeやtokenを盗むことができる。

***対策 [#cbb19bc5]
-Clientなりすまし(偽装)~
クライアント認証、redirect_uri 検証

-悪意のあるClientの登録~
クライアントの登録機能をサポートしない。

**Authorization Codeグラント種別 [#f4d89342]
codeの置換・注入(CSFR)

***影響 [#sc626f21]
-置換~
他人のaccess_tokenを取得できる可能性がある。

-注入(CSFR)~
自分のaccess_tokenで他のユーザが操作を行える。

***攻撃 [#n89ac6b8]
codeを収集し、置換・注入(CSFR)の攻撃を行う。

-置換
--自分のClientを使用して、他人のcodeを収集する。
--他人のcodeを収集して、自分のフロー中に埋め込む(置換)。

-注入(CSFR)
--攻撃対象のClientを使用して、自分のcodeを収集する。
--自分のcodeを収集して、他人のフロー中に埋め込む(注入(CSFR))。

***対策 [#o155e4ee]
-置換~
クライアント認証、redirect_uri 検証に対策を施す。

-注入(CSFR)~
ClientにCSFR対策を施す。
>認可エンドポイントへ遷移する際にstateパラメタを付与する。~
そして、Redirectエンドポイントでstateパラメタをチェックする。

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]



トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS