应用程序在早期使用 OAuth2 的时候爆发过不少相关的安全方面的漏洞,其实仔细分析后会发现大都都是没有严格遵循 OAuth2 的安全相关的指导造成的,相关的漏洞事件自行搜索。
其实 OAuth2 在设计之初是已经做了很多安全方面的考虑,并且在 RFC6749 中加入了一些安全方面的规范指导。比如:
1、要求 Authorization server 进行有效的客户端验证;
2、client_serect,access_token,refresh_token,code等敏感信息的安全存储(不得泄露给第三方)、传输通道的安全性(TSL的要求);
3、维持 refresh_token 和第三方应用的绑定,刷新失效机制;
4、维持 Authorization Code 和第三方应用的绑定,这也是state参数为什么是推荐的一点,以防止CSRF攻击;
5、保证上述各种令牌信息的不可猜测行,以防止被猜测得到;安全无小事,这方面是要靠各方面(开放平台,第三方开发者)共同防范的。
假设有用户张三,攻击者李四,第三方"云冲印"应用(它集成了第三方社交账号登录,并且允许用户将社交账号和"云冲印"中的账号进行绑定),以及 OAuth2 服务提供者 Google。
攻击者李四登录"云冲印"网站,并且选择绑定自己的 Google 账号
"云冲印"网站将李四重定向到 Google,由于他之前已经登录过 Google,所以 Google 直接向他显示是否授权"云冲印"访问的页面。
李四在点击"同意授权"之后,截获 Google 服务器返回的含有Authorization code参数的HTTP响应。
李四精心构造一个 Web 页面,它会触发"云冲印"网站向 Google 发起令牌申请的请求,而这个请求中的Authorization Code参数正是上一步截获到的 code。
李四将这个 Web 页面放到互联网上,等待或者诱骗受害者张三来访问。
张三之前登录了"云冲印"网站,只是没有把自己的账号和其他社交账号绑定起来。在张三访问了李四准备的这个 Web 页面,令牌申请流程在张三的浏览器里被顺利触发,"云冲印"网站从 Google 那里获取到access_token,但是这个 token 以及通过它进一步获取到的用户信息却都是攻击者李四的。
"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。
从整体上来看,本次 CSRF 攻击的时序图应该是下面这个样子的:
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的Authorization Code之外,难以分辨出这个请求到底是用户本人的意愿,还是攻击者利用用户的身份伪造出来的请求。
于是,攻击者就能使用移花接木的手段,提前准备一个含有自己的Authorization Code的请求,并让受害者的浏览器来接着完成后续的令牌申请流程。
