OAuth 2.0 Threat Model and Security Considerations のバックアップ(No.3)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth 2.0 Threat Model and Security Considerations へ行く。
  • 1 (2017-11-30 (木) 13:12:56)
  • 2 (2017-11-30 (木) 13:17:31)
  • 3 (2017-12-01 (金) 18:06:53)
  • 4 (2017-12-04 (月) 11:39:10)
  • 5 (2017-12-05 (火) 14:01:50)
  • 6 (2017-12-05 (火) 19:42:35)
  • 7 (2017-12-05 (火) 20:53:41)
  • 8 (2017-12-06 (水) 13:11:52)
  • 9 (2017-12-06 (水) 16:08:01)
  • 10 (2017-12-07 (木) 10:17:44)
  • 11 (2017-12-08 (金) 17:56:44)
  • 12 (2017-12-11 (月) 12:01:03)
  • 13 (2018-08-20 (月) 13:42:51)
  • 14 (2018-10-09 (火) 22:15:00)
  • 15 (2018-10-17 (水) 16:55:33)
  • 16 (2018-10-17 (水) 21:05:17)
  • 17 (2018-10-26 (金) 18:31:43)
  • 18 (2018-10-26 (金) 21:47:17)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• OAuth 2.0 の脅威モデルとセキュリティの考慮事項 (RFC 6819)
• OAuth 2.0 の実装にあたり、特にセキュリティーに関して考慮すべき事項の列挙
• セクション４からの内容で、OAuth 2.0 の前提は飛ばしている。

Client †

Clientに対する攻撃

client_secretの入手 †

影響（大） †

Authorization Serverのクライアント認証のバイパスによる
アクセストークン・リクエストが可能になる。

• Client Credentialsグラント種別による。

• リプレイ攻撃による。
  • Authorization Codeグラント種別のcode
  • refresh_token

攻撃 †

• ソースコードまたはバイナリから取得
• インストールされたクライアントから取得
  • web site (web server)
  • device (native application)

対策 †

• Section 5.2.3.1
• Section 5.2.3.2
• Section 5.2.3.4
• Section 5.2.3.6

refresh_tokenの入手 †

影響（小） †

• refresh_tokenを用いたアクセストークン・リクエストが可能になる。
• ただし、実装によるがclient_secretも必要。

攻撃 †

• Web applicationから
• device (native application)
  • ファイルシステムから
  • deviceを盗難してから
  • deviceを複製してから

対策 †

• 上記から取得されないようにする。
• refresh_tokenのローテーション
• ユーザやデバイスを特定できる場合、
  • refresh_token取り消し処理の実装。
  • client_secret取り消し処理の実装。

• device (native application)の場合、
  • 秘密を安全な記憶域に保管する。
  • デバイスロックを使用する。
  • Tokenにデバイス識別子を同梱

access_tokenの入手 †

影響（大） †

そのスコープのリソースにアクセス可能になる。

攻撃 †

refresh_tokenと同じ方法

対策 †

• 有効期間を短くする。
• スコープを制限する。
• 一時メモリやプライベート・メモリに保持する。
• その他、refresh_tokenと同じ方法。

組込ブラウザの利用によるフィッシング †

影響（中） †

• ユーザ・アカウントを含めたあらゆる情報が取得され、
• それが悪用される可能性がある。

攻撃 †

ブラウザによるあらゆる情報のフィッシング

対策 †

clientの検証（例えば、GoogleはWebView?をブロックしている）

オープンリダイレクタ †

登録があるので、Client側にもあるが、Authorization Server側を参照。

Authorization Server †

Authorization Serverに対する攻撃

偽造Authorization Serverによるフィッシング †

影響（中） †

• 実装側ではなく、利用者側の問題だが、
• 誘導されるとユーザ・アカウントのフィッシングされ、なんでもできるようになる。

攻撃 †

• 偽造Clientのスターターで、誤った、偽造Authorization Serverに飛ぶ。
• 偽造Authorization Serverによりユーザ・アカウントがフィッシングされる。

対策 †

• SSL/TLS（サーバー証明）の利用
• ユーザの教育（偽造Client、偽造Authorization Serverの識別）

悪意のあるClientに大きなアクセス権を与えてしまう †

影響（中） †

• パブリック・クライアントの登録が可能なケースで、
• 悪意のあるClientが、不要に大きなScopeを持ったTokenを取得できる。

攻撃 †

• パブリック・クライアントが登録される。
• 悪意のあるClientのスターターを起動させる。
• 不用意に大きなScopeを要求する。

対策 †

Authorization Serverは

• client_idに対して
  • 認可画面を表示する（promptパラメタによらず）。
  • 許可するscopeをチェックする。

• ClientのTypeよって許可するscopeをチェックする。
  • code : 認可画面を表示。
  • token : 認可画面が表示できない。

悪意のあるClientに既存ログイン・セッションで権限を与えてしまう †

影響（中） †

• パブリック・クライアントの登録が可能なケースで、
• ログイン・セッションが生きている場合、
  ログイン画面、認可画面、なにも表示されずに権限を与える。

攻撃 †

• パブリック・クライアントが登録される。
• 悪意のあるClientのスターターを起動させる。

対策 †

• リピート認証を自動的に処理しない。
• 自動化された承認によって得られたアクセストークンの範囲を制限する。

オープンリダイレクタ †

影響（大） †

codeや、access_tokenの入手に繋がる。

• code : Authorization Codeグラント種別
  codeは、実装によるがclient_secretも必要。

• access_token : Implicitグラント種別
  access_tokenは、そのまま利用可能なので影響度が大きい。

攻撃 †

redirect_uriのインジェクションで攻撃者のサイトに誘導。

対策 †

• redirect_uriのフルパス登録
• redirect_uriのフルパス検証

参考 †

• RFC 6819 - OAuth 2.0 Threat Model and Security Considerations
  https://tools.ietf.org/html/rfc6819

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.028 sec.