OAuth 2.0 Threat Model (Flow) のバックアップの現在との差分(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• OAuth 2.0 Threat Model (Flow) へ行く。
  • 1 (2017-12-05 (火) 20:06:51)
  • 2 (2017-12-05 (火) 20:08:05)
  • 3 (2017-12-06 (水) 09:06:02)
  • 4 (2017-12-06 (水) 16:35:13)
  • 5 (2017-12-08 (金) 17:32:49)
  • 6 (2017-12-11 (月) 11:59:05)
  • 7 (2018-10-09 (火) 22:14:47)
  • 8 (2018-10-18 (木) 10:32:48)
  • 9 (2018-10-22 (月) 20:55:56)
  • 10 (2018-10-25 (木) 22:53:37)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth 2.0 Threat Model and Security Considerations]]

* 目次 [#ff55f5a3]
#contents

*概要 [#i38da113]
[[OAuth 2.0 Threat Model and Security Considerations]]のFlowに着目した脅威モデル。

*詳細 [#v7dfc52f]

**[[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)]] [#v5721a5d]
主に、code漏洩にフォーカスした内容。

**[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f86d5264]
主に、access_token漏洩にフォーカスした内容。

**[[Resource Owner Password Credentials>OAuth 2.0 Threat Model (Resource Owner Password Credentials Flow)]] [#z7c59f6c]
主に、サインイン・プロセスの問題にフォーカスした内容。

**Client Credentials [#ibd7170f]
[[Resource Owner Password Credentials>#z7c59f6c]]で説明したものと同様だが、~
ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。

*参考 [#lc5dc6c9]
ネットでピックアップされていたもの。

**全グラント種別共通 [#c3d7e21e]

***影響 [#lbec317f]
Clientを用いた攻撃が可能になる。
-Clientなりすまし（偽装）
-悪意のあるClientの登録

***攻撃 [#gc415695]
-Clientなりすまし（偽装）
--client_idを盗んで、特定のClientになり済ますことができる。
--これにより、攻撃用のClientを使用した攻撃が可能になる。

-悪意のあるClientの登録
--する場合、悪意のあるClientが登録できる。
--Clientを利用してcodeやtokenを盗むことができる。

***対策 [#cbb19bc5]
-Clientなりすまし（偽装）~
クライアント認証、redirect_uri 検証

-悪意のあるClientの登録~
クライアントの登録機能をサポートしない。

**Authorization Codeグラント種別 [#f4d89342]
codeの置換・注入（CSFR）
codeの置換・注入（[[CSRF>#heb255d3]]）

***影響 [#sc626f21]
-置換~
他人のaccess_tokenを取得できる可能性がある。

-注入（CSFR）~
-注入（[[CSRF>#heb255d3]]）~
自分のaccess_tokenで他のユーザが操作を行える。

***攻撃 [#n89ac6b8]
codeを収集し、置換・注入（CSFR）の攻撃を行う。
codeを収集し、置換・注入（[[CSRF>#heb255d3]]）の攻撃を行う。

-置換
--自分のClientを使用して、他人のcodeを収集する。
--他人のcodeを収集して、自分のフロー中に埋め込む（置換）。

-注入（CSFR）
-注入（[[CSRF>#heb255d3]]）
--攻撃対象のClientを使用して、自分のcodeを収集する。
--自分のcodeを収集して、他人のフロー中に埋め込む（注入（CSFR））。
--自分のcodeを収集して、他人のフロー中に埋め込む（注入（[[CSRF>#heb255d3]]））。

***対策 [#o155e4ee]
-置換~
クライアント認証、redirect_uri 検証に対策を施す。

-注入（CSFR）~
ClientにCSFR対策を施す。
-注入（[[CSRF>#heb255d3]]）~
Clientに[[CSRF>#heb255d3]]対策を施す。
>認可エンドポイントへ遷移する際にstateパラメタを付与する。~
そして、Redirectエンドポイントでstateパラメタをチェックする。

*参考 [#ad91607d]
**[[CSRF>CSRF(XSRF)対策の実装方針]] [#heb255d3]

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.008 sec.