「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>OAuth 2.0 Threat Model (Flow)]] * 目次 [#wbbe2bd8] #contents *概要 [#t3166cbe] [[OAuth 2.0 Threat Model and Security Considerations]]の~ Flowに着目した脅威モデルのうち、主に、access_token漏洩にフォーカスした内容。 *access_token漏洩 [#n68e5df1] access_tokenは、 -Fragment identifierでClientに直接返される。 -これにより、HTTP referer(サーバ側)を介しての漏洩はしない。 **攻撃 [#c8664949] **対策 [#j95e6903] **共通項 [#aa8360bb] ***共通的な影響 [#x57472a2] access_tokenの漏洩により、~ Resource Ownerの、そのscopeのリソースにアクセス可能になる。 *単純な攻撃 [#t47f0a87] **Endpointからのaccess_token漏洩 [#c77be886] ***影響 [#y00961bc] [[共通的な影響>#x57472a2]] ***攻撃 [#m77ffac9] 盗聴 ***対策 [#r90440c1] SSL/TLSの利用 **ブラウザ履歴からのaccess_token漏洩 [#of10be77] ***影響 [#y26ff3d4] [[共通的な影響>#x57472a2]] ***攻撃 [#ae57a875] ブラウザ履歴の参照 ***対策 [#mf2daa3e] -キャッシュを無効化する。 -access_token --短い有効期限 --scopeを小さくする *悪意のあるClientの登録・誘導による盗難 [#xfe317d8] **[[スクリーン・スクレイピング>OAuth 2.0 Threat Model (Authorization code Flow)#r5309faa]] [#p86a170a] **スクリプトの実装を置換する [#t8d8d189] ***影響 [#x2ad3d75] [[共通的な影響>#x57472a2]] ***攻撃 [#w6a08854] -DNSまたはARPスプーフィング -攻撃者のスクリプトをダウンロードする。 -access_tokenの盗難・漏洩 ***対策 [#ocade264] -スクリプトを取得するCDNなどのサーバを認証する。 -スクリプトの改竄の確認処理を実装する。 -1回限りの使用ごとの秘密値の導入などは、~ 攻撃者のスクリプトの有効性を低下させる。 *access_tokenの置換・注入 [#je333bad] **[[CSRFによる攻撃者のaccess_token注入>OAuth 2.0 Threat Model (Authorization code Flow)#z08fc60f]] [#z004447e] [[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)#z08fc60f]]と同じ。 **[[access_token置換によるOAuthログイン>OAuth 2.0 Threat Model (Authorization code Flow)#g3e9db30]] [#a94eb141] [[Authorization code>OAuth 2.0 Threat Model (Authorization code Flow)#g3e9db30]]と同じ。 -単なる OAuth 2.0 を認証に使うと、車が通れるほどの~ どでかいセキュリティー・ホールができる | @_Nat Zone~ https://www.sakimura.org/2012/02/1487/ --攻撃者の構築したClient(A)は、[[Access Token>#jb722a87]]を収集する。 --攻撃者は、 [[Access Token>#jb722a87]]置き換え攻撃により、Client(B)経由でリソース・アクセスできる。 ---- Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]