OAuth 2.0 Threat Model (Implicit Flow) のバックアップソース(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• OAuth 2.0 Threat Model (Implicit Flow) へ行く。
  • 1 (2018-10-22 (月) 18:54:01)
  • 2 (2018-10-22 (月) 20:46:06)
  • 3 (2018-12-18 (火) 11:07:18)

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth 2.0 Threat Model (Flow)]]

* 目次 [#wbbe2bd8]
#contents

*概要 [#t3166cbe]
[[OAuth 2.0 Threat Model and Security Considerations]]の~
Flowに着目した脅威モデルのうち、主に、access_token漏洩にフォーカスした内容。

*access_token漏洩 [#n68e5df1]
access_tokenは、
-Fragment identifierでClientに直接返される。
-これにより、HTTP referer（サーバ側）を介しての漏洩はしない。

**攻撃 [#c8664949]
**対策 [#j95e6903]
**共通項 [#aa8360bb]
***共通的な影響 [#x57472a2]
access_tokenの漏洩により、~
Resource Ownerの、そのscopeのリソースにアクセス可能になる。

*単純な攻撃 [#t47f0a87]

**Endpointからのaccess_token漏洩 [#c77be886]

***影響 [#y00961bc]
[[共通的な影響>#x57472a2]]

***攻撃 [#m77ffac9]
盗聴

***対策 [#r90440c1]
SSL/TLSの利用

**ブラウザ履歴からのaccess_token漏洩 [#of10be77]

***影響 [#y26ff3d4]
[[共通的な影響>#x57472a2]]

***攻撃 [#ae57a875]
ブラウザ履歴の参照

***対策 [#mf2daa3e]
-キャッシュを無効化する。

-access_token
--短い有効期限
--scopeを小さくする

*悪意のあるClientの登録・誘導による盗難 [#xfe317d8]

**[[スクリーン・スクレイピング>OAuth 2.0 Threat Model (Authorization code Flow)#r5309faa]] [#p86a170a]

**スクリプトの実装を置換する [#t8d8d189]

***影響 [#x2ad3d75]
[[共通的な影響>#x57472a2]]

***攻撃 [#w6a08854]
-DNSまたはARPスプーフィング
-攻撃者のスクリプトをダウンロードする。
-access_tokenの盗難・漏洩

***対策 [#ocade264]
-スクリプトを取得するCDNなどのサーバを認証する。
-スクリプトの改竄の確認処理を実装する。
-1回限りの使用ごとの秘密値の導入などは、~
攻撃者のスクリプトの有効性を低下させる。

*access_tokenの置換・注入 [#je333bad]

**[[CSRFによる攻撃者のaccess_token注入>OAuth 2.0 Threat Model (Authorization code Flow)#z08fc60f]] [#z004447e]
[[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)#z08fc60f]]と同じ。

**[[access_token置換によるOAuthログイン>OAuth 2.0 Threat Model (Authorization code Flow)#g3e9db30]] [#a94eb141]
[[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)#g3e9db30]]と同じ。

-単なる OAuth 2.0 を認証に使うと、車が通れるほどの~
どでかいセキュリティー・ホールができる | @_Nat Zone~
https://www.sakimura.org/2012/02/1487/
--攻撃者の構築したClient(A)は、[[Access Token>#jb722a87]]を収集する。
--攻撃者は、 [[Access Token>#jb722a87]]置き換え攻撃により、Client(B)経由でリソース・アクセスできる。

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.002 sec.