OAuth协议安全分析

OAuth 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 安全分析——以Android平台为例王晖@上海交通大学LoCCSGoSSIP关于我•GoSSIP成员•研究方向：协议分析、应用密码学、Android安全•微博@GoSSIP_SJTU•www.securitygossip.com•乌云实验室高级研究员•专栏：SSL协议安全科普系列OAUTH协议安全分析——以Android平台为例•什么是OAuth协议？•跟我们有什么关系？什么是OAUTH?开放的授权 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 （OpenAuthorization）允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容2007年，OAuth1.02012年，OAuth2.0授权&认证OAUTH跟我们有什么关系?部分OAUTH服务提供商服务提供商OAuth协议版本新浪微博2.0腾讯QQ2.0微信2.0支付宝2.0Facebook2.0Google2.0Twitter2.0OAUTH不安全实现会怎样？——微信红包随便领微信领红包URLhttps://open.weixin.qq.com/connect/oauth2/authorize?appid=wx6fa7e3bab7e15415&redirect_uri=https://wxapp.tenpay.com/v2/hybrid/www/weixin/hongbao/receive.shtml?showwxpaytitle=1&sendid=1000000000201501092047478999&channelid=1&msgtype=1&from=singlemessage&isappinstalled=0&us=***********&ver=1&sign=***********&clientversion=26000238&devicetype=android-19&pass_ticket=***********&timeguid=14207873040300.4459930493030697&response_type=code&scope=snsapi_base&state=STATE&connect_redirect=1#wechat_redirectWooYun-2015-90898OAUTH不安全实现会怎样？——微信红包随便领Android平台OAuth实现的安全问题OAuth协议简介Android平台中OAuth实现的特性对Android平台中OAuth实现的安全审计案例分析大纲ANDROID平台OAUTH实现的安全问题国内15家主流OAUTH服务提供商，14家存在至少一种安全问题国内主流服务提供商OAUTH实现特点概况ANDROID平台OAUTH实现的安全问题应用市场TOP100的应用，84个使用OAUTH，81个存在安全问题主要漏洞类型不安全的用户代理（V1）缺乏协议参与者身份认证（V2）不安全的信息传输（V3）不安全的秘密管理（V4）不正确的服务器端参数校验（V5）不正确的认证凭据（V6）TOP100APP使用OAUTH服务授权和认证数量TOP100APP使用OAUTH认证用户方式分析了4,151个应用，1,372个使用了OAUTH，86.4%存在安全问题服务依赖方：RelyingParty(RP)，也称为Consumer服务提供方：ServiceProvider(SP)，也称为IdentityProvider/AuthorizationServer&ResourceServer服务提供方服务依赖方用户OAUTH协议简介OAUTH抽象工作流OAUTH协议的工作原理OAUTH授权许可类型:OAuth1.0/1.0aOAuth2.0授权码许可（authorizationcodegrant）隐式授权（implicitgrant）资源拥有者密码凭据授权（resourceownerpasswordcredentialgrant）客户端凭据授权（clientcredentialgrant）OAUTH协议的工作原理OAUTH2.0隐式授权OAUTH协议的工作原理OAUTH1.0OAUTH协议的工作原理OAUTH协议的工作原理OAUTH2.0授权码许可OAUTH协议的工作原理OAUTH协议的工作原理一种安全的OAUTH工作流（FACEBOOK）ANDROID平台中OAUTH实现的特点RP注册应用（WEB）OAUTH协议的工作原理RP注册应用（MOBILE）OAUTH协议的工作原理OAUTH2.0资源拥有者密码凭据授权OAUTH协议的工作原理值得注意的安全敏感点重定向URI,访问令牌及授权码验证访问令牌、授权码的生成秘密管理授权提示HTTPS保护OAUTH协议的工作原理WEB平台和ANDROID平台OAUTH实现的差异性不同的用户代理不同的重定向机制Web平台使用HTTP302状态码Android平台中使用Intent机制RP、SP及用户代理的身份验证应用的客户端逻辑密钥/秘密管理ANDROID平台中OAUTH实现的特点攻击者模型网络攻击者恶意服务依赖方应用重打包恶意服务提供商应用重打包恶意服务依赖方应用Android设备中的其它恶意应用ANDROID平台中OAUTH实现的特点ANDROID平台中的用户代理WebViewServiceProviderappNativesystembrowserANDROID平台中OAUTH实现的特点针对WEBVIEW的攻击允许在WebView中使用JavaScript，setJavaScriptEnabled(true)在WebView中注册事件句柄能够对不同事件进行响应能够检测WebView中的活动，如“onLoadResource()”和“onPageFinished()”在WebView中注入一个本地(Java)对象，允许这个对象的方法被JS访问“addJavascriptInterface()”ANDROID平台中OAUTH实现的特点窃取用户登录信息（账号/密码）ANDROID平台中OAUTH实现的特点修改授权页面ANDROID平台中OAUTH实现的特点国内主流SP支持的用户代理ANDROID平台中OAUTH实现的特点密钥/秘密管理ANDROID平台中OAUTH实现的特点密钥/秘密管理ANDROID平台中OAUTH实现的特点部分SP使用的OAUTH授权许可类型ANDROID平台中OAUTH实现的特点安全审计模型-SPAPP作为用户代理对ANDROID平台中OAUTH实现的安全审计安全审计模型-WEBVIEW作为用户代理对ANDROID平台中OAUTH实现的安全审计•静态分析•流量分析对ANDROID平台中OAUTH实现的安全审计主流SP在OAUTH协议各阶段存在的安全问题ANDROID平台中OAUTH实现的特点主要漏洞类型不安全的用户代理（V1）缺乏协议参与者身份认证（V2）不安全的信息传输（V3）不安全的秘密管理（V4）不正确的服务器端参数校验（V5）不正确的认证凭据（V6）对ANDROID平台中OAUTH实现的安全审计案例——人民日报&新浪微博Thankyou!Thankyou!Thankyou!Thankyou!