Analisis keamanan OAuth 2.0 seluler dan desktop dan mekanisme CodeVerifier

Sampah kecil · Diposting pada 28/11/2020 20.51.48

Aplikasi desktop dan seluler adalah browser yang disematkan dalam aplikasi untuk membantu menyelesaikan seluruh proses OAuth 2.0

Prosesnya ditunjukkan pada gambar

OAuth2.0 web
1) Kembalikan authCode ke Web redirectUri yang ditentukan (URI ini dikonfigurasi oleh pengembang aplikasi)
2) Untuk mengubah token, Anda perlu meneruskan clientId dan clientSecret untuk memverifikasi identitas klien (diperoleh oleh layanan backend aplikasi)

Memperhatikan dua poin di atas,
1) Karena bukan deteksi pengalihan aplikasi web yang tidak valid
2) Karena tidak ada layanan backend clientSecret tidak aman
Kemudian serangan yang mungkin kita temui adalah seperti yang ditunjukkan pada gambar di bawah ini, mungkin ada aplikasi jahat yang mencegat authCode untuk mengirim pesan ke AuthorizationServer untuk mendapatkan token, sehingga token diperoleh tanpa otorisasi pelanggan ke aplikasi tetapi ke otorisasi aplikasi resmi lainnya, mencapai tujuan serangan.

Solusi:

1. Klien menghasilkan string: verifikasi kode acak dan menyimpan string acak ini
code_challenge = transformasi(code_verifier, [Plain| S256])
Jika metode transformasi biasa, maka tantangan kode setara dengan pemverifikasi kode
Jika metode transformasinya adalah S256, maka tantangan kode sama dengan hash Sha256 dari pemverifikasi kode
2. Bawa tantangan kode ke permintaan kode otorisasi dan cara membuat tantangan kode. Keduanya terikat pada kode otorisasi yang dikeluarkan oleh server
3. Setelah mendapatkan kode otorisasi, klien membawa pemverifikasi kode yang awalnya dihasilkan saat menukar kode otorisasi dengan Token Akses. Server menghitung pemverifikasi kode sesuai dengan metode transformasi terikat, membandingkan hasil yang dihitung dengan tantangan kode terikat, dan mengeluarkan Token Akses jika konsisten.

Analisis keamanan OAuth 2.0 seluler dan desktop dan mekanisme CodeVerifier

Pos terkait

Bagian yang dilihat