マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Client

Clientに対する攻撃

client_secretの入手

影響(大)

Authorization Serverのクライアント認証のバイパスによる
アクセストークン・リクエストが可能になる。

攻撃

対策

refresh_tokenの入手

影響(小)

攻撃

対策

access_tokenの入手

影響(大)

そのスコープのリソースにアクセス可能になる。

攻撃

refresh_tokenと同じ方法

対策

組込ブラウザの利用によるフィッシング

影響(中)

攻撃

ブラウザによるあらゆる情報のフィッシング

対策

clientの検証(例えば、GoogleはWebView?をブロックしている)

オープンリダイレクタ

登録があるので、Client側にもあるが、Authorization Server側を参照。

Authorization Server

Authorization Serverに対する攻撃

偽造Authorization Serverによるフィッシング

影響(中)

攻撃

対策

悪意のあるClientに大きなアクセス権を与えてしまう

影響(中)

攻撃

対策

Authorization Serverは

悪意のあるClientに既存ログイン・セッションで権限を与えてしまう

影響(中)

攻撃

対策

オープンリダイレクタ

影響(大)

codeや、access_tokenの入手に繋がる。

攻撃

redirect_uriのインジェクションで攻撃者のサイトに誘導。

対策

参考


Tags: :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS