OAuth and Covert Redirect#idcon mini Vol.3 参考資料

@ritou

2014/5

1

本資料の目的

idcon mini Vol.3で取り扱うネタを紹介するもの

じっくりプレゼンするつもりはない

2

内容

OAuth 2.0とCovert Redirectのおさらい

OAuth 2.0の各フローにてAuthZ

Responseが第3者に渡るリスクについてちょっとだけ説明

3

Covert Redirect4

5

http://goo.gl/EZPH55

どうしてこうなった

Serverのredirect_uri検証？

ClientのOpenRedirector？

User-Agentのフラグメント引継ぎの仕様？

OAuth 2.0のImplicit Grant？

このあたりはもう説明不要なはず

6

とりあえず、2つの問題に分割

任意のURLにユーザーを誘導できること

Authorization Responseが第3者に取得されること

7

任意のURLにユーザーを誘導できてしまうこと

リスク

意図せぬURL遷移(フィッシングなどに使われる)

対策

Serverは厳密にredirect_uriをチェック

ClientはOpenRedirector作らない

8

Authorization Responseが第3

者に取得されること

リスク

Implicit : access_token持っていかれるオワタ、Token置換攻撃…

code : ？

対策

stateパラメータ？拡張？

当日はこの辺りを確認しましょう

9

OAuth 2.0

Authorization Response10

response_type=token

下記パラメータがfragmentについてくる

access_token

token_type

expires_in

scope

state

11

Access Tokenが漏れる影響

APIアクセスが可能

どうしようもない…

正規のredirect_uriにつけてToken置換攻撃

stateチェックを実装して対策

攻撃者のセッション(state既知)で第3者のTokenが使われたら？

12

response_type=code

下記パラメータがqueryについてくる

code

state

13

Codeが漏れる影響

Confidential Clientならば攻撃者がAccess Tokenを取得できない

正規のredirect_uriにかましてCode Interception Attack

redirect_uriチェックでOK

普通はここで部分一致とかしない

ヤバそうなケースを知ってたら教えてください

14

気になる拡張仕様15

OAuth Proof of Possession

「わいらは OAuth 2.0 の Proof of Possession ちゅう拡張にも取り組んどるんやが、こいつはええで。これ使えばattacker が漏洩した access token を使うことすら防止できるっちゅうシロモンや。」

http://www.thread-safe.com/2014/04/oauth-proof-of-possession-drafts.html

この話しても良いかも

16

それでは当日お待ちしております

17