清单
重定向 URI 验证不足
通过Referer Header的凭证泄漏
通过浏览器历史记录泄露
混合攻击
授权码注入
访问令牌注入
跨站请求伪造
资源服务器的访问令牌泄漏
资源服务器的访问令牌泄漏
307 重定向
TLS 终止反向代理
客户端冒充资源所有者
点击劫持
其他安全注意事项
请求的保密性
服务器认证
始终通知资源所有者
证书
凭证存储保护
标准 SQLi 对策
没有明文存储凭据
凭据加密
使用非对称密码学
对秘密的在线攻击
密码政策
秘密的高熵
锁定帐户
焦油坑
验证码的使用
令牌(访问、刷新、代码)
限制令牌范围
到期时间
到期时间短
限制使用次数/一次使用
将令牌绑定到特定资源服务器(受众)
使用端点地址作为令牌受众
受众和令牌范围
将令牌绑定到客户端 ID
签名令牌
令牌内容加密
具有高熵的随机令牌值
访问令牌
授权服务器
授权码
如果检测到滥用,则自动撤销派生令牌
刷新令牌
限制发行刷新令牌
将刷新令牌绑定到 client_id
刷新令牌替换
刷新令牌撤销
将刷新令牌请求与用户提供的机密相结合
设备识别
客户端认证和授权
Client_id 仅与强制用户同意结合使用
Client_id 仅与 redirect_uri 结合使用
验证预注册的 redirect_uri
客户机密撤销
使用强客户端身份验证(例如 client_assertion / client_token)
最终用户授权
重复授权的自动处理需要客户端验证
最终用户验证客户端属性
授权码绑定到client_id
授权码绑定到redirect_uri
客户端应用安全
不要将凭据存储在与软件包捆绑在一起的代码或资源中
标准 Web 服务器保护措施(用于配置文件和数据库)
将机密存储在安全存储中
利用设备锁防止未经授权的设备访问
平台安全措施
资源服务器
检查授权标头
检查经过身份验证的请求
检查签名请求
原文始发于微信公众号(菜鸟小新):OAuth 2.0 威胁模型渗透测试清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论