OAuth 2.0 Threat Model (Flow)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 Threat Model and Security Consideration...
* 目次 [#ff55f5a3]
#contents
*概要 [#i38da113]
[[OAuth 2.0 Threat Model and Security Considerations]]のF...
*詳細 [#v7dfc52f]
**[[Authorization code>OAuth 2.0 Threat Model (Authorizat...
主に、code漏洩にフォーカスした内容。
**[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f...
主に、access_token漏洩にフォーカスした内容。
**[[Resource Owner Password Credentials>OAuth 2.0 Threat ...
主に、サインイン・プロセスの問題にフォーカスした内容。
**Client Credentials [#ibd7170f]
[[Resource Owner Password Credentials>#z7c59f6c]]で説明し...
ユーザID/パスワードは使用しないため、非対話的問題を突いた...
*参考 [#lc5dc6c9]
ネットでピックアップされていたもの。
**全グラント種別共通 [#c3d7e21e]
***影響 [#lbec317f]
Clientを用いた攻撃が可能になる。
-Clientなりすまし(偽装)
-悪意のあるClientの登録
***攻撃 [#gc415695]
-Clientなりすまし(偽装)
--client_idを盗んで、特定のClientになり済ますことができる。
--これにより、攻撃用のClientを使用した攻撃が可能になる。
-悪意のあるClientの登録
--する場合、悪意のあるClientが登録できる。
--Clientを利用してcodeやtokenを盗むことができる。
***対策 [#cbb19bc5]
-Clientなりすまし(偽装)~
クライアント認証、redirect_uri 検証
-悪意のあるClientの登録~
クライアントの登録機能をサポートしない。
**Authorization Codeグラント種別 [#f4d89342]
codeの置換・注入([[CSRF>#heb255d3]])
***影響 [#sc626f21]
-置換~
他人のaccess_tokenを取得できる可能性がある。
-注入([[CSRF>#heb255d3]])~
自分のaccess_tokenで他のユーザが操作を行える。
***攻撃 [#n89ac6b8]
codeを収集し、置換・注入([[CSRF>#heb255d3]])の攻撃を行...
-置換
--自分のClientを使用して、他人のcodeを収集する。
--他人のcodeを収集して、自分のフロー中に埋め込む(置換)。
-注入([[CSRF>#heb255d3]])
--攻撃対象のClientを使用して、自分のcodeを収集する。
--自分のcodeを収集して、他人のフロー中に埋め込む(注入([...
***対策 [#o155e4ee]
-置換~
クライアント認証、redirect_uri 検証に対策を施す。
-注入([[CSRF>#heb255d3]])~
Clientに[[CSRF>#heb255d3]]対策を施す。
>認可エンドポイントへ遷移する際にstateパラメタを付与する。~
そして、Redirectエンドポイントでstateパラメタをチェックす...
*参考 [#ad91607d]
**[[CSRF>CSRF(XSRF)対策の実装方針]] [#heb255d3]
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 Threat Model and Security Consideration...
* 目次 [#ff55f5a3]
#contents
*概要 [#i38da113]
[[OAuth 2.0 Threat Model and Security Considerations]]のF...
*詳細 [#v7dfc52f]
**[[Authorization code>OAuth 2.0 Threat Model (Authorizat...
主に、code漏洩にフォーカスした内容。
**[[Implicit>OAuth 2.0 Threat Model (Implicit Flow)]] [#f...
主に、access_token漏洩にフォーカスした内容。
**[[Resource Owner Password Credentials>OAuth 2.0 Threat ...
主に、サインイン・プロセスの問題にフォーカスした内容。
**Client Credentials [#ibd7170f]
[[Resource Owner Password Credentials>#z7c59f6c]]で説明し...
ユーザID/パスワードは使用しないため、非対話的問題を突いた...
*参考 [#lc5dc6c9]
ネットでピックアップされていたもの。
**全グラント種別共通 [#c3d7e21e]
***影響 [#lbec317f]
Clientを用いた攻撃が可能になる。
-Clientなりすまし(偽装)
-悪意のあるClientの登録
***攻撃 [#gc415695]
-Clientなりすまし(偽装)
--client_idを盗んで、特定のClientになり済ますことができる。
--これにより、攻撃用のClientを使用した攻撃が可能になる。
-悪意のあるClientの登録
--する場合、悪意のあるClientが登録できる。
--Clientを利用してcodeやtokenを盗むことができる。
***対策 [#cbb19bc5]
-Clientなりすまし(偽装)~
クライアント認証、redirect_uri 検証
-悪意のあるClientの登録~
クライアントの登録機能をサポートしない。
**Authorization Codeグラント種別 [#f4d89342]
codeの置換・注入([[CSRF>#heb255d3]])
***影響 [#sc626f21]
-置換~
他人のaccess_tokenを取得できる可能性がある。
-注入([[CSRF>#heb255d3]])~
自分のaccess_tokenで他のユーザが操作を行える。
***攻撃 [#n89ac6b8]
codeを収集し、置換・注入([[CSRF>#heb255d3]])の攻撃を行...
-置換
--自分のClientを使用して、他人のcodeを収集する。
--他人のcodeを収集して、自分のフロー中に埋め込む(置換)。
-注入([[CSRF>#heb255d3]])
--攻撃対象のClientを使用して、自分のcodeを収集する。
--自分のcodeを収集して、他人のフロー中に埋め込む(注入([...
***対策 [#o155e4ee]
-置換~
クライアント認証、redirect_uri 検証に対策を施す。
-注入([[CSRF>#heb255d3]])~
Clientに[[CSRF>#heb255d3]]対策を施す。
>認可エンドポイントへ遷移する際にstateパラメタを付与する。~
そして、Redirectエンドポイントでstateパラメタをチェックす...
*参考 [#ad91607d]
**[[CSRF>CSRF(XSRF)対策の実装方針]] [#heb255d3]
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
