面向OAuth2.0授權服務API的賬號劫持攻擊威脅檢測
摘要:OAuth2.0授權協議在簡化用戶登錄第三方應用的同時,也存在泄露用戶隱私數據的風險,甚至引發用戶賬號被攻擊劫持。通過分析OAuth2.0協議的脆弱點,構建了圍繞授權碼的賬號劫持攻擊模型,提出了基于差異流量分析的脆弱性應用程序編程接口(API)識別方法和基于授權認證網絡流量監測的賬號劫持攻擊驗證方法,設計并實現了面向OAuth2.0授權服務API的賬號劫持攻擊威脅檢測框架OScan。通過對Alexa排名前10 000的網站中真實部署的3 853個授權服務API進行大規模測試,發現360個存在脆弱性的API。經過進一步驗證,發現了80個網站存在賬號劫持攻擊威脅。相較類似工具,OScan在覆蓋身份提供方(IdP)全面性、檢測依賴方(RP)數量和威脅檢測完整性等方面均具有明顯的優勢。
注: 保護知識產權,如需閱讀全文請聯系通信學報雜志社
相關推薦
更多
