idcon mini vol3 CovertRedirect
-
Upload
ryo-ito -
Category
Technology
-
view
681 -
download
5
description
Transcript of idcon mini vol3 CovertRedirect
OAuth and Covert Redirect#idcon mini Vol.3 参考資料
@ritou
2014/5
1
本資料の目的
idcon mini Vol.3で取り扱うネタを紹介するもの
じっくりプレゼンするつもりはない
2
内容
OAuth 2.0とCovert Redirectのおさらい
OAuth 2.0の各フローにてAuthZ
Responseが第3者に渡るリスクについてちょっとだけ説明
3
Covert Redirect4
どうしてこうなった
Serverのredirect_uri検証?
ClientのOpenRedirector?
User-Agentのフラグメント引継ぎの仕様?
OAuth 2.0のImplicit Grant?
このあたりはもう説明不要なはず
6
とりあえず、2つの問題に分割
任意のURLにユーザーを誘導できること
Authorization Responseが第3者に取得されること
7
任意のURLにユーザーを誘導できてしまうこと
リスク
意図せぬURL遷移(フィッシングなどに使われる)
対策
Serverは厳密にredirect_uriをチェック
ClientはOpenRedirector作らない
8
Authorization Responseが第3
者に取得されること
リスク
Implicit : access_token持っていかれるオワタ、Token置換攻撃…
code : ?
対策
stateパラメータ?拡張?
当日はこの辺りを確認しましょう
9
OAuth 2.0
Authorization Response10
response_type=token
下記パラメータがfragmentについてくる
access_token
token_type
expires_in
scope
state
11
Access Tokenが漏れる影響
APIアクセスが可能
どうしようもない…
正規のredirect_uriにつけてToken置換攻撃
stateチェックを実装して対策
攻撃者のセッション(state既知)で第3者のTokenが使われたら?
12
response_type=code
下記パラメータがqueryについてくる
code
state
13
Codeが漏れる影響
Confidential Clientならば攻撃者がAccess Tokenを取得できない
正規のredirect_uriにかましてCode Interception Attack
redirect_uriチェックでOK
普通はここで部分一致とかしない
ヤバそうなケースを知ってたら教えてください
14
気になる拡張仕様15
OAuth Proof of Possession
「わいらは OAuth 2.0 の Proof of Possession ちゅう拡張にも取り組んどるんやが、こいつはええで。これ使えばattacker が漏洩した access token を使うことすら防止できるっちゅうシロモンや。」
http://www.thread-safe.com/2014/04/oauth-proof-of-possession-drafts.html
この話しても良いかも
16
それでは当日お待ちしております
17