マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目したセキュリティに関する考慮事項。

Authorization code

codeの盗聴または漏洩

影響

攻撃

対策

DBからcodeを盗難

影響

すべてのcodeの開示

攻撃

対策

オンライン推測によるcodeの取得

影響

攻撃

対策

悪意のあるClientを認可してしまう

影響

攻撃

フロー中のユーザ同意のシミュレートするなど。

対策

codeフィッシング

影響

codeを用いたアクセストークン・リクエストが可能になる。
(access_token, refresh_tokenの開示)

攻撃

対策

セッション・ハイジャック

前述の、パブリック・クライアント版。

影響

攻撃

対策

※ クライアント認証は無効

悪意のあるClientによるcode漏洩

影響

攻撃者は、悪意のあるClientを使用して、
正規のClientの被害者のリソースにアクセスできる。

攻撃

対策

redirect-uriに対するCSRF

影響

脆弱なClientによって被害者は攻撃者のアカウントでリソースにアクセスする。

攻撃

対策

認証に対するクリックジャッキング

影響

攻撃

対策


Tags: :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS