期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

OAuth 2.0协议在Web部署中的安全性分析与威胁防范 被引量:10

Security Analysis and Vulnerability Management of OAuth 2.0 on Web Deployment
原文传递
导出
摘要 分析了OAuth 2.0协议中两大主流模式的安全机制和实现过程,给出了针对协议中部分敏感数据的威胁模型,针对协议部署过程中常见的安全漏洞提出了访问令牌注入攻击以及针对授权码注入的CSRF攻击的攻击路线,并对若干网站进行测试,结果显示攻击效果良好,验证了攻击方法的有效性,最后提出了相应的防范策略. This paper analyzes the implementation and security mechanisms of the two mainstream modes of OAuth 2.0,presents a threat model against some sensitive data of the protocol,and proposes token injection attack and CSRF attack for authorization code injection routines against the common loopholes during the deployment of the protocol.The testing results show the attack methods perform well,and the respective prevention strategies are also proposed.
作者 王丹磊 李长军 赵磊 王丽娜
机构地区 武汉大学空天信息安全与可信计算教育部重点实验室 武汉大学计算机学院
出处 《武汉大学学报(理学版)》 CAS CSCD 北大核心 2016年第5期411-417,共7页 Journal of Wuhan University:Natural Science Edition
基金 国家自然科学基金(61303213 61373169) 国家高技术研究发展(863)计划(2015AA016004)资助项目
关键词 OAUTH 2.0协议 开放平台 验证与授权 网络安全 OAuth 2.0 protocol open platform verification and authorization cyber security
分类号 TP309 [自动化与计算机技术—计算机系统结构]
  • 相关文献

参考文献3

二级参考文献23

  • 1Wikipedia-OAuth[Z/OL]. http://zh.wikipedia.org/wiki/OAuth ,2013.
  • 2Eran Hammer. Explaining the OAuth Session Fixation Attack[Z/OL]. http://hueniverse.com/2009/04/explaining-the-oauth-session-fixation- attack/, 2009.
  • 3Egor Homakov. The Story About Two OAuth2 Vulnerabilities[Z/OL]. http://homakov.blogspot.com/2012/09/a-couple-of-reasons-why- oauth2-spec-is.html, 2012.
  • 4Egor Homakov. OAuth2: One access_token To Rule Them All[Z/ OL].http://homakov.blogspot.com/2012/08/oauth2-one-accesstoken- to-rule -them-all.html, 2012.
  • 5Egor Homakov. The Most Common OAuth2 Vulnerability[Z/OL]. http://homakov.blogspot.com/2012/07/saferweb-most- common- oauth2.html, 2012.
  • 6Dndx.OpenlD和OAuth的区别及第三方登录的安全隐患分析[Z/OL].https://idndx.com/2012/04/23/openid-Vs-oauth-and-the-security-risk-of-oauth-login/,2012.
  • 7Hardt D. The OAuth 2.0 Authorization Framework. IETF RFC 6749. http://tools.ietf.org/html/rfc6749.
  • 8Chari S, Jutla CS, Roy A. Universally Composable Security Analysis of OAuth v2. 0. IACR Cryptology ePrint Archive, 2011, 2011: 526.
  • 9Corella F, Karen R Lewison. security analysis of double redirection protocols. 2011. http://pomcor.corn/techreports/ DoubleRedirection.pdf.
  • 10Xu XD, Niu LY, Meng B. Automatic verification of security properties of OAuth2.0 protocol with cryptoverif in computational model. Information Technology Journal, 2013, (12): 2273-2285.

共引文献24

同被引文献57

引证文献10

二级引证文献38

武汉大学学报(理学版)
2016年 第5期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部