OAuth 2.0 Threat Model (Flow) のバックアップ(No.9) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
OAuth 2.0 Threat Model (Flow) へ行く。
- 1 (2017-12-05 (火) 20:06:51)
- 2 (2017-12-05 (火) 20:08:05)
- 3 (2017-12-06 (水) 09:06:02)
- 4 (2017-12-06 (水) 16:35:13)
- 5 (2017-12-08 (金) 17:32:49)
- 6 (2017-12-11 (月) 11:59:05)
- 7 (2018-10-09 (火) 22:14:47)
- 8 (2018-10-18 (木) 10:32:48)
- 9 (2018-10-22 (月) 20:55:56)
- 10 (2018-10-25 (木) 22:53:37)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
Authorization code
Implicit
Resource Owner Password Credentials
Client Credentials
参考
- 全グラント種別共通
  - 影響
  - 攻撃
  - 対策
- Authorization Codeグラント種別
  - 影響
  - 攻撃
  - 対策

概要 †

OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目した脅威モデル。

Authorization code †

主に、code漏洩にフォーカスした内容。

Implicit †

主に、access_token漏洩にフォーカスした内容。

Resource Owner Password Credentials †

主に、サインイン・プロセスの問題にフォーカスした内容。

Client Credentials †

Resource Owner Password Credentialsで説明したものと同様だが、
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。

参考 †

ネットでピックアップされていたもの。

全グラント種別共通 †

影響 †

Clientを用いた攻撃が可能になる。

Clientなりすまし（偽装）
悪意のあるClientの登録

攻撃 †

Clientなりすまし（偽装）
- client_idを盗んで、特定のClientになり済ますことができる。
- これにより、攻撃用のClientを使用した攻撃が可能になる。

悪意のあるClientの登録
- する場合、悪意のあるClientが登録できる。
- Clientを利用してcodeやtokenを盗むことができる。

対策 †

Clientなりすまし（偽装）
クライアント認証、redirect_uri 検証

悪意のあるClientの登録
クライアントの登録機能をサポートしない。

Authorization Codeグラント種別 †

codeの置換・注入（CSFR）

影響 †

置換
他人のaccess_tokenを取得できる可能性がある。

注入（CSFR）
自分のaccess_tokenで他のユーザが操作を行える。

攻撃 †

codeを収集し、置換・注入（CSFR）の攻撃を行う。

置換
- 自分のClientを使用して、他人のcodeを収集する。
- 他人のcodeを収集して、自分のフロー中に埋め込む（置換）。

注入（CSFR）
- 攻撃対象のClientを使用して、自分のcodeを収集する。
- 自分のcodeを収集して、他人のフロー中に埋め込む（注入（CSFR））。

対策 †

置換
クライアント認証、redirect_uri 検証に対策を施す。

注入（CSFR）
ClientにCSFR対策を施す。
認可エンドポイントへ遷移する際にstateパラメタを付与する。
そして、Redirectエンドポイントでstateパラメタをチェックする。

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth