Enviar búsqueda
Cargar
idcon mini vol3 CovertRedirect
•
5 recomendaciones
•
1,689 vistas
Ryo Ito
Seguir
http://idcon.doorkeeper.jp/events/11429 の参加者になんとなく読んでおいてもらいたいざっくりとした資料
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 17
Descargar ahora
Descargar para leer sin conexión
Recomendados
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Ryo Ito
Facebookアクセストークンのセキュリティ再確認
Facebookアクセストークンのセキュリティ再確認
Yoichi Toyota
Idcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
Recomendados
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Ryo Ito
Facebookアクセストークンのセキュリティ再確認
Facebookアクセストークンのセキュリティ再確認
Yoichi Toyota
Idcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
Ryo Ito
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
go_router が隠してくれるもの
go_router が隠してくれるもの
cch-robo
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Ryo Ito
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
Ryo Ito
BackplaneProtocol超入門
BackplaneProtocol超入門
Ryo Ito
UserManagedAccess_idcon13
UserManagedAccess_idcon13
Ryo Ito
WebIntents × SNS
WebIntents × SNS
Ryo Ito
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
Ryo Ito
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
Ryo Ito
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ryo Ito
Ritou idcon7
Ritou idcon7
Ryo Ito
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
Más contenido relacionado
Similar a idcon mini vol3 CovertRedirect
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
Ryo Ito
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
go_router が隠してくれるもの
go_router が隠してくれるもの
cch-robo
Similar a idcon mini vol3 CovertRedirect
(8)
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Azure ADとIdentity管理
Azure ADとIdentity管理
go_router が隠してくれるもの
go_router が隠してくれるもの
Más de Ryo Ito
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Ryo Ito
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
Ryo Ito
BackplaneProtocol超入門
BackplaneProtocol超入門
Ryo Ito
UserManagedAccess_idcon13
UserManagedAccess_idcon13
Ryo Ito
WebIntents × SNS
WebIntents × SNS
Ryo Ito
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
Ryo Ito
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
Ryo Ito
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ryo Ito
Ritou idcon7
Ritou idcon7
Ryo Ito
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
0905xx Hybrid Memo
0905xx Hybrid Memo
Ryo Ito
Anonymous OAuth Test
Anonymous OAuth Test
Ryo Ito
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
Ryo Ito
Más de Ryo Ito
(17)
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
BackplaneProtocol超入門
BackplaneProtocol超入門
UserManagedAccess_idcon13
UserManagedAccess_idcon13
WebIntents × SNS
WebIntents × SNS
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ritou idcon7
Ritou idcon7
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
0905xx Hybrid Memo
0905xx Hybrid Memo
Anonymous OAuth Test
Anonymous OAuth Test
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
idcon mini vol3 CovertRedirect
1.
OAuth and Covert
Redirect #idcon mini Vol.3 参考資料 @ritou 2014/5 1
2.
本資料の目的 idcon mini Vol.3で取り扱うネタ を紹介するもの じっくりプレゼンするつもりは ない 2
3.
内容 OAuth 2.0とCovert Redirectの おさらい OAuth
2.0の各フローにてAuthZ Responseが第3者に渡るリスク についてちょっとだけ説明 3
4.
Covert Redirect4
5.
5 http://goo.gl/EZPH55
6.
どうしてこうなった Serverのredirect_uri検証? ClientのOpenRedirector? User-Agentのフラグメント引継 ぎの仕様? OAuth 2.0のImplicit Grant? このあたりはもう説明不要なはず 6
7.
とりあえず、2つの問題に分割 任意のURLにユーザーを誘導でき ること Authorization Responseが第3者 に取得されること 7
8.
任意のURLにユーザーを誘導で きてしまうこと リスク 意図せぬURL遷移(フィッシングな どに使われる) 対策 Serverは厳密にredirect_uriを チェック ClientはOpenRedirector作らない 8
9.
Authorization Responseが第3 者に取得されること リスク Implicit :
access_token持ってい かれるオワタ、Token置換攻撃… code : ? 対策 stateパラメータ?拡張? 当日はこの辺りを確認しましょう 9
10.
OAuth 2.0 Authorization Response10
11.
response_type=token 下記パラメータがfragmentについて くる access_token token_type expires_in scope state 11
12.
Access Tokenが漏れる影響 APIアクセスが可能 どうしようもない… 正規のredirect_uriにつけて Token置換攻撃 stateチェックを実装して対策 攻撃者のセッション(state既知)で 第3者のTokenが使われたら? 12
13.
response_type=code 下記パラメータがqueryについてくる code state 13
14.
Codeが漏れる影響 Confidential Clientならば攻撃者が Access Tokenを取得できない 正規のredirect_uriにかましてCode Interception
Attack redirect_uriチェックでOK 普通はここで部分一致とかしない ヤバそうなケースを知ってたら教え てください 14
15.
気になる拡張仕様15
16.
OAuth Proof of
Possession 「わいらは OAuth 2.0 の Proof of Possession ちゅう拡張にも取り組んどる んやが、こいつはええで。これ使えば attacker が漏洩した access token を使 うことすら防止できるっちゅうシロモン や。」 http://www.thread- safe.com/2014/04/oauth-proof-of- possession-drafts.html この話しても良いかも 16
17.
それでは当日 お待ちしております 17
Descargar ahora