日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
移花接木:針對OAuth2的攻擊

作為第三方應用,為了提升用戶體驗,往往會提供第三方社交賬號登錄或者綁定的功能,這背后使用到的關鍵技術是OAuth認證。想要在自己的應用里集成OAuth不是難事兒,各大社交網站都提供了詳盡的文檔指南。

創(chuàng)新互聯(lián)公司專注于梅列網站建設服務及定制,我們擁有豐富的企業(yè)做網站經驗。 熱誠為您提供梅列營銷型網站建設,梅列網站制作、梅列網頁設計、梅列網站官網定制、微信小程序開發(fā)服務,打造梅列網絡公司原創(chuàng)品牌,更為您提供梅列網站排名全網營銷落地服務。

OAuth的復雜度比較高,有不少安全方面的坑,開發(fā)者在使用過程中一不注意可能就會掉進去,比如說不正確的使用OAuth2可能會遭遇到CSRF攻擊。本文將對這個安全風險做一個通俗易懂的解釋。

OAuth2 授權模式回顧

在開始之前,讓我們先來回顧一下OAuth2中最典型的Authorization Code 授權模式,其大致流程如下:

OAuth2 Authorization Code Flow

我們把OAuth2的整個認證過程大致分為三個階段。

  • 第一階段主要是向用戶取得授權許可,對應圖中的第1、2、3步;
  • 第二階段主要是申請訪問令牌(access_token),對應圖中的第4、5步;
  • 第三階段就是使用access_token獲取用戶數據。

這一過程中涉及了不少敏感參數和數據,例如client_secret相當于是第三方應用自己的密碼,access_token某種程度上來講就是用戶的session id。由于這些參數以及數據極其特殊,我們當然得確保它們的安全性,HTTPS加密傳輸以及安全存儲是必不可少的防護手段。不過僅僅做到這些是遠遠不夠的,在這個流程里存在一個弱點,容易被攻擊者利用進行CSRF攻擊。

針對OAuth2的CSRF攻擊

1. 攻擊流程

讓我們來看一個針對OAuth2的CSRF攻擊的例子。假設有用戶張三,和攻擊者李四,還有一個第三方Web應用Tonr,它集成了第三方社交賬號登錄,并且允許用戶將社交賬號和Tonr中的賬號進行綁定。此外還有一個OAuth2服務提供者Sparklr。

模擬攻擊案例中涉及的角色

Step 1. 攻擊者李四登錄Tonr網站,并且選擇綁定自己的Sparklr賬號。

Step 2. Tonr網站將李四重定向到Sparklr,由于他之前已經登錄過Sparklr,所以Sparklr直接向他顯示“是否授權Tonr訪問”的頁面。

Step 3. 李四在點擊”同意授權“之后,截獲Sparklr服務器返回的含有Authorization Code參數的HTTP響應。

Step 4. 李四精心構造一個Web頁面,它會觸發(fā)Tonr網站向Sparklr發(fā)起令牌申請的請求,而這個請求中的Authorization Code參數正是上一步截獲到的code。

Step 5. 李四將這個Web頁面放到互聯(lián)網上,等待或者誘騙受害者張三來訪問。

Step 6. 張三之前登錄了Tonr網站,只是沒有把自己的賬號和其他社交賬號綁定起來。在張三訪問了李四準備的這個Web頁面后,令牌申請流程在張三的瀏覽器里被順利觸發(fā),Tonr網站從Sparklr那里獲取到access_token,但是這個token以及通過它進一步獲取到的用戶信息卻都是攻擊者李四的。

Step 7. Tonr網站將李四的Sparklr賬號同張三的Tonr賬號關聯(lián)綁定起來,從此以后,李四就可以用自己的Sparklr賬號通過OAuth登錄到張三在Tonr網站中的賬號,堂而皇之的冒充張三的身份執(zhí)行各種操作。

等等,這一切發(fā)生得太快,還沒看清楚李四怎么就登錄到張三的賬號里去了。沒關系,讓我們從幾個不同的角度來看看這當中發(fā)生了什么。

2. 受害者張三(Resource Owner)視角

受害者張三訪問了一個Web頁面,然后,就沒有然后了,他在Tonr網站上的賬號就和攻擊者李四在Sparklr上的賬號綁定到了一起。偽造的請求是經過精心構造的,令牌申請這一過程在張三的瀏覽器里是非常隱蔽的被觸發(fā)的,換句話講就是,他根本不知道這背后發(fā)生了什么。

3. Tonr網站(Client)視角

從Tonr網站來看,它收到的所有請求看上去都是正常的。首先它收到了一個HTTP請求,其代表著當前用戶張三在Sparklr網站上已經做了“同意授權”操作。其內容如下:

 
 
 
 
    
  
  
  
  
  1. GET /bindingCallback?code=AUTHORIZATION_CODE 
    2.

不過需要注意的是,URL里的code不是當前受害者張三的Authorization Code,而是攻擊者李四的。

當Tonr收到這樣的請求時,它以為張三已經同意授權(但實際上這個請求是李四偽造的),于是就發(fā)起后續(xù)的令牌申請請求,用收到的Authorization Code向Sparklr換取access_token,只不過最后拿到的是攻擊者李四的 access_token。

最后,Tonr網站把攻擊者李四的access_token和當前受害者張三在Tonr網站上的賬號進行關聯(lián)綁定。

4. Sparklr網站(OAuth2服務提供者)視角

Sparklr網站也是一臉茫然的樣子,因為在它看來,自己收到的授權請求,以及后續(xù)的令牌申請請求都是正常的,或者說它無法得知接收到的這些請求之間的關聯(lián)關系,而且也無法區(qū)別出這些請求到底是來自張三本人,還是由李四偽造出來的。因此只要自己收到的參數是正確有效的,那就提供正常的認證服務,僅此而已。

5. 攻擊者李四視角

李四偽造了一個用戶授權成功的請求,并且將其中的Authorization Code參數替換成了自己提前獲取到的code。這樣,當受害者張三的瀏覽器被欺騙從而發(fā)起令牌申請請求時,實際上是在用張三在Tonr網站上的賬號和李四在Sparklr網站上的賬號做綁定。

攻擊完成后,李四在Tonr網站上可以通過自己在Sparklr網站的賬號進行登錄,而且登錄進入的是張三在Tonr網站上的賬號。而張三通過自己在Tonr網站上的賬號登錄進去之后,看到的是李四在Sparklr網站上的數據。

6. 上帝視角

從整體上來看,這次攻擊的時序圖應該是下面這個樣子的:

攻擊時序圖示

漏洞的本質

這個問題的關鍵點在于,OAuth2的認證流程是分為好幾步來完成的,在圖1中的第4步,第三方應用在收到一個GET請求時,除了能知道當前用戶的cookie,以及URL中的Authorization Code之外,難以分辨出這個請求到底是用戶本人的意愿,還是攻擊者利用用戶的身份偽造出來的請求。 于是乎,攻擊者就能使用移花接木的手段,提前準備一個含有自己的Authorization Code的請求,并讓受害者的瀏覽器來接著完成后續(xù)的令牌申請流程。

前提條件

盡管這個攻擊既巧妙又隱蔽,但是要成功進行這樣的CSRF攻擊也是需要滿足一定前提條件的。

首先,在攻擊過程中,受害者張三在Tonr網站上的用戶會話(User Session)必須是有效的,也就是說,張三在受到攻擊前已經登錄了Tonr網站。

其次,整個攻擊必須在短時間內完成,因為OAuth2提供者頒發(fā)的Authorization Code有效期很短,OAuth2官方推薦的時間是不大于10分鐘,而一旦Authorization Code過期那么后續(xù)的攻擊也就不能進行下去了。

最后,一個Authorization Code只能被使用一次,如果OAuth2提供者收到重復的Authorization Code,它會拒絕當前的令牌申請請求。不止如此,根據OAuth2官方推薦,它還可以把和這個已經使用過的Authorization Code相關聯(lián)的access_token全部撤銷掉,進一步降低安全風險。

防御辦法

要防止這樣的攻擊其實很容易,作為第三方應用的開發(fā)者,只需在OAuth認證過程中加入state參數,并驗證它的參數值即可。具體細節(jié)如下:

(1) 在將用戶重定向到OAuth2的Authorization Endpoint去的時候,為用戶生成一個隨機的字符串,并作為state參數加入到URL中。

(2) 在收到OAuth2服務提供者返回的Authorization Code請求的時候,驗證接收到的state參數值。如果是正確合法的請求,那么此時接受到的參數值應該和上一步提到的為該用戶生成的state參數值完全一致,否則就是異常請求。

(3) state參數值需要具備下面幾個特性:

  • 不可預測性:足夠的隨機,使得攻擊者難以猜到正確的參數值
  • 關聯(lián)性:state參數值和當前用戶會話(user session)是相互關聯(lián)的
  • 唯一性:每個用戶,甚至每次請求生成的state參數值都是唯一的
  • 時效性:state參數一旦被使用則立即失效

總結

要避免遭受本文提到的CSRF攻擊問題,需要第三方應用正確的使用state參數,然而縱觀各大OAuth服務提供者,在其開發(fā)文檔里都沒有明確把state參數和CSRF攻擊聯(lián)系起來,僅僅只是像下面這樣一句話帶過:

“參數:state

是否必須:否

說明:重定向后會帶上state參數,開發(fā)者可以填寫a-zA-Z0-9的參數值,最多128字節(jié)”

讓事情變得更糟糕的是,state是可選參數,因此更容易被開發(fā)者忽略,造成安全風險。此外,本文中的攻擊非常巧妙,可以悄無聲息的攻陷受害者的賬號,難以被察覺到。

作為第三方應用的開發(fā)者,我們除了參考OAuth2服務提供者的開發(fā)文檔之外,還應當加深自己對OAuth2的理解,盡可能的避開這些安全的坑。 而作為OAuth2服務提供者,也應當承擔起提醒開發(fā)者注意防范安全風險的責任。

【本文是專欄作者“ThoughtWorks”的原創(chuàng)稿件,微信公眾號:思特沃克,轉載請聯(lián)系原作者】


文章題目:移花接木:針對OAuth2的攻擊
文章分享:http://www.dlmjj.cn/article/cogjhis.html