「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
OAuth 2.0 Threat Model and Security ConsiderationsのFlowに着目した脅威モデル。
詳細 †
主に、code漏洩にフォーカスした内容。
主に、access_token漏洩にフォーカスした内容。
主に、サインイン・プロセスの問題にフォーカスした内容。
Client Credentials †
Resource Owner Password Credentialsで説明したものと同様だが、
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。
参考 †
ネットでピックアップされていたもの。
全グラント種別共通 †
影響 †
Clientを用いた攻撃が可能になる。
- Clientなりすまし(偽装)
- 悪意のあるClientの登録
攻撃 †
- Clientなりすまし(偽装)
- client_idを盗んで、特定のClientになり済ますことができる。
- これにより、攻撃用のClientを使用した攻撃が可能になる。
- 悪意のあるClientの登録
- する場合、悪意のあるClientが登録できる。
- Clientを利用してcodeやtokenを盗むことができる。
対策 †
- Clientなりすまし(偽装)
クライアント認証、redirect_uri 検証
- 悪意のあるClientの登録
クライアントの登録機能をサポートしない。
Authorization Codeグラント種別 †
codeの置換・注入(CSFR)
影響 †
- 置換
他人のaccess_tokenを取得できる可能性がある。
- 注入(CSFR)
自分のaccess_tokenで他のユーザが操作を行える。
攻撃 †
codeを収集し、置換・注入(CSFR)の攻撃を行う。
- 置換
- 自分のClientを使用して、他人のcodeを収集する。
- 他人のcodeを収集して、自分のフロー中に埋め込む(置換)。
- 注入(CSFR)
- 攻撃対象のClientを使用して、自分のcodeを収集する。
- 自分のcodeを収集して、他人のフロー中に埋め込む(注入(CSFR))。
対策 †
- 置換
クライアント認証、redirect_uri 検証に対策を施す。
- 注入(CSFR)
ClientにCSFR対策を施す。
認可エンドポイントへ遷移する際にstateパラメタを付与する。
そして、Redirectエンドポイントでstateパラメタをチェックする。
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth