АНАЛІЗ БЕЗПЕКИ ПРОТОКОЛУ OAUTH

A. Yu. Tolkachova; O. I. Harasymchuk; I. R. Opirskyy

doi:10.32447/20784643.27.2023.08

A. Yu. Tolkachova Національний університет “Львівська політехніка”
O. I. Harasymchuk Національний університет “Львівська політехніка” https://orcid.org/0000-0002-8742-8872
I. R. Opirskyy Національний університет “Львівська політехніка” https://orcid.org/0000-0002-8461-8996

DOI: https://doi.org/10.32447/20784643.27.2023.08

Ключові слова: безпека, протокол OAuth, доступ до ресурсів, автентифікація, авторизація, атака, вразливості

Анотація

Постановка проблеми: В останні роки стрімко зростає використання протоколів авторизації та автентифікації в різних сервісах, що зумовлює підвищений інтерес до таких протоколів і до гарантій захисту, які вони можуть надавати. Робота присвячена огляду безпеки протоколу OAuth, який на сьогодні є одним з найбільш поширених механізмів авторизації, дозволяє користувачам надавати доступ до своїх захищених ресурсів без надання прямого доступу до свого пароля та лежить в основі стандарту SSO OpenID Connect. Він став стандартом для багатьох веб-додатків та API, які забезпечують доступ до обмежених ресурсів. Останнім часом стрімко зростає кількість зловживань під час використання цього протоколу, а також різноманітні кібератаки на нього, що створює критичні проблеми для його користувачів. В першу чергу такі атаки здійснюються через проблеми безпеки цього протоколу.
Метою дослідження є розроблення рекомендацій з реалізації та пошуку вразливостей методом тестування на проникнення Web-сервісів в контексті протоколу Oauth 2.0.
Результати дослідження. В роботі розглянуті базові аспекти та механізми використання цього протоколу. Детально проаналізовані його основні відомі вразливості. Зокрема досліджено, що в результаті недостатньої перевірки URI перенаправлення може бути порушена ідентифікація або автентифікація клієнта, що дозволить зловмиснику отримати код авторизації. Описано сценарії можливих атак на надання коду авторизації та на неявний грант, загрозу витоку кодів станів через сторони клієнта або сервера авторизації через Referrer-заголовки, які також часто використовуються зловмисниками для порушення роботи протоколу OAuth. Також, продемонстровано, що через
протокол OAuth може бути скомпрометований сервер ресурсів. Проведено оцінювання вразливостей з використанням CVSS-калькулятора, яке показало певні серйозні моменти з безпекою протоколу OAuth.
Висновки. Отже, хоча протокол OAuth дозволяє зручну та безпечну авторизацію та автентифікацію в різних веб-додатках та сервісах, він має свої потенційні загрози безпеці, які необхідно враховувати при його використанні. Важливо дотримуватися високих стандартів безпеки та забезпечувати належну конфігурацію сервера, щоб захистити дані користувачів від можливих загроз. Оскільки дослідження в роботі були спрямовані загалом на сам протокол OAuth, а не на його окремі реалізації, то були надані загальні чіткі рекомендації, дотримання яких дасть змогу покращити безпеку авторизації та автентифікації користувачів в Інтернет, а також забезпечити захист інформації на належному рівні.

Завантаження

Дані завантаження ще не доступні.