「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>OAuth 2.0 Threat Model and Security Considerations]] * 目次 [#ff55f5a3] #contents *概要 [#i38da113] [[OAuth 2.0 Threat Model and Security Considerations]]のFlowに着目した脅威モデル。 * [[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)]] [#v5721a5d] 主に、code漏洩にフォーカスした内容。 *[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f86d5264] 主に、access_token漏洩にフォーカスした内容。 *[[Resource Owner Password Credentials>OAuth 2.0 Threat Model (Resource Owner Password Credentials Flow)]] [#z7c59f6c] 主に、サインイン・プロセスの問題にフォーカスした内容。 *Client Credentials [#ibd7170f] [[Resource Owner Password Credentials>#z7c59f6c]]で説明したものと同様だが、~ ユーザID/パスワードは使用しないため、非対話的問題を突いた攻撃の考慮事項に限定される。 *参考 [#lc5dc6c9] ネットでピックアップされていたもの。 **全グラント種別共通 [#c3d7e21e] ***影響 [#lbec317f] Clientを用いた攻撃が可能になる。 -Clientなりすまし(偽装) -悪意のあるClientの登録 ***攻撃 [#gc415695] -Clientなりすまし(偽装) --client_idを盗んで、特定のClientになり済ますことができる。 --これにより、攻撃用のClientを使用した攻撃が可能になる。 -悪意のあるClientの登録 --する場合、悪意のあるClientが登録できる。 --Clientを利用してcodeやtokenを盗むことができる。 ***対策 [#cbb19bc5] -Clientなりすまし(偽装)~ クライアント認証、redirect_uri 検証 -悪意のあるClientの登録~ クライアントの登録機能をサポートしない。 **Authorization Codeグラント種別 [#f4d89342] codeの置換・注入(CSFR) ***影響 [#sc626f21] -置換~ 他人のaccess_tokenを取得できる可能性がある。 -注入(CSFR)~ 自分のaccess_tokenで他のユーザが操作を行える。 ***攻撃 [#n89ac6b8] codeを収集し、置換・注入(CSFR)の攻撃を行う。 -置換 --自分のClientを使用して、他人のcodeを収集する。 --他人のcodeを収集して、自分のフロー中に埋め込む(置換)。 -注入(CSFR) --攻撃対象のClientを使用して、自分のcodeを収集する。 --自分のcodeを収集して、他人のフロー中に埋め込む(注入(CSFR))。 ***対策 [#o155e4ee] -置換~ クライアント認証、redirect_uri 検証に対策を施す。 -注入(CSFR)~ ClientにCSFR対策を施す。 >認可エンドポイントへ遷移する際にstateパラメタを付与する。~ そして、Redirectエンドポイントでstateパラメタをチェックする。 ---- Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]