移花接木:針對OAuth2的攻擊
作為第三方應用,為了提升用戶體驗,往往會提供第三方社交賬號登錄或者綁定的功能,這背后使用到的關鍵技術是OAuth認證。想要在自己的應用里集成OAuth不是難事兒,各大社交網站都提供了詳盡的文檔指南。
OAuth的復雜度比較高,有不少安全方面的坑,開發者在使用過程中一不注意可能就會掉進去,比如說不正確的使用OAuth2可能會遭遇到CSRF攻擊。本文將對這個安全風險做一個通俗易懂的解釋。
OAuth2 授權模式回顧
在開始之前,讓我們先來回顧一下OAuth2中最典型的Authorization Code 授權模式,其大致流程如下:
OAuth2 Authorization Code Flow
我們把OAuth2的整個認證過程大致分為三個階段。
- 第一階段主要是向用戶取得授權許可,對應圖中的第1、2、3步;
- 第二階段主要是申請訪問令牌(access_token),對應圖中的第4、5步;
- 第三階段就是使用access_token獲取用戶數據。
這一過程中涉及了不少敏感參數和數據,例如client_secret相當于是第三方應用自己的密碼,access_token某種程度上來講就是用戶的session id。由于這些參數以及數據極其特殊,我們當然得確保它們的安全性,HTTPS加密傳輸以及安全存儲是必不可少的防護手段。不過僅僅做到這些是遠遠不夠的,在這個流程里存在一個弱點,容易被攻擊者利用進行CSRF攻擊。
針對OAuth2的CSRF攻擊
1. 攻擊流程
讓我們來看一個針對OAuth2的CSRF攻擊的例子。假設有用戶張三,和攻擊者李四,還有一個第三方Web應用Tonr,它集成了第三方社交賬號登錄,并且允許用戶將社交賬號和Tonr中的賬號進行綁定。此外還有一個OAuth2服務提供者Sparklr。
模擬攻擊案例中涉及的角色
Step 1. 攻擊者李四登錄Tonr網站,并且選擇綁定自己的Sparklr賬號。
Step 2. Tonr網站將李四重定向到Sparklr,由于他之前已經登錄過Sparklr,所以Sparklr直接向他顯示“是否授權Tonr訪問”的頁面。
Step 3. 李四在點擊”同意授權“之后,截獲Sparklr服務器返回的含有Authorization Code參數的HTTP響應。
Step 4. 李四精心構造一個Web頁面,它會觸發Tonr網站向Sparklr發起令牌申請的請求,而這個請求中的Authorization Code參數正是上一步截獲到的code。
Step 5. 李四將這個Web頁面放到互聯網上,等待或者誘騙受害者張三來訪問。
Step 6. 張三之前登錄了Tonr網站,只是沒有把自己的賬號和其他社交賬號綁定起來。在張三訪問了李四準備的這個Web頁面后,令牌申請流程在張三的瀏覽器里被順利觸發,Tonr網站從Sparklr那里獲取到access_token,但是這個token以及通過它進一步獲取到的用戶信息卻都是攻擊者李四的。
Step 7. Tonr網站將李四的Sparklr賬號同張三的Tonr賬號關聯綁定起來,從此以后,李四就可以用自己的Sparklr賬號通過OAuth登錄到張三在Tonr網站中的賬號,堂而皇之的冒充張三的身份執行各種操作。
等等,這一切發生得太快,還沒看清楚李四怎么就登錄到張三的賬號里去了。沒關系,讓我們從幾個不同的角度來看看這當中發生了什么。
2. 受害者張三(Resource Owner)視角
受害者張三訪問了一個Web頁面,然后,就沒有然后了,他在Tonr網站上的賬號就和攻擊者李四在Sparklr上的賬號綁定到了一起。偽造的請求是經過精心構造的,令牌申請這一過程在張三的瀏覽器里是非常隱蔽的被觸發的,換句話講就是,他根本不知道這背后發生了什么。
3. Tonr網站(Client)視角
從Tonr網站來看,它收到的所有請求看上去都是正常的。首先它收到了一個HTTP請求,其代表著當前用戶張三在Sparklr網站上已經做了“同意授權”操作。其內容如下:
- GET /bindingCallback?code=AUTHORIZATION_CODE
不過需要注意的是,URL里的code不是當前受害者張三的Authorization Code,而是攻擊者李四的。
當Tonr收到這樣的請求時,它以為張三已經同意授權(但實際上這個請求是李四偽造的),于是就發起后續的令牌申請請求,用收到的Authorization Code向Sparklr換取access_token,只不過最后拿到的是攻擊者李四的 access_token。
最后,Tonr網站把攻擊者李四的access_token和當前受害者張三在Tonr網站上的賬號進行關聯綁定。
4. Sparklr網站(OAuth2服務提供者)視角
Sparklr網站也是一臉茫然的樣子,因為在它看來,自己收到的授權請求,以及后續的令牌申請請求都是正常的,或者說它無法得知接收到的這些請求之間的關聯關系,而且也無法區別出這些請求到底是來自張三本人,還是由李四偽造出來的。因此只要自己收到的參數是正確有效的,那就提供正常的認證服務,僅此而已。
5. 攻擊者李四視角
李四偽造了一個用戶授權成功的請求,并且將其中的Authorization Code參數替換成了自己提前獲取到的code。這樣,當受害者張三的瀏覽器被欺騙從而發起令牌申請請求時,實際上是在用張三在Tonr網站上的賬號和李四在Sparklr網站上的賬號做綁定。
攻擊完成后,李四在Tonr網站上可以通過自己在Sparklr網站的賬號進行登錄,而且登錄進入的是張三在Tonr網站上的賬號。而張三通過自己在Tonr網站上的賬號登錄進去之后,看到的是李四在Sparklr網站上的數據。
6. 上帝視角
從整體上來看,這次攻擊的時序圖應該是下面這個樣子的:
攻擊時序圖示
漏洞的本質
這個問題的關鍵點在于,OAuth2的認證流程是分為好幾步來完成的,在圖1中的第4步,第三方應用在收到一個GET請求時,除了能知道當前用戶的cookie,以及URL中的Authorization Code之外,難以分辨出這個請求到底是用戶本人的意愿,還是攻擊者利用用戶的身份偽造出來的請求。 于是乎,攻擊者就能使用移花接木的手段,提前準備一個含有自己的Authorization Code的請求,并讓受害者的瀏覽器來接著完成后續的令牌申請流程。
前提條件
盡管這個攻擊既巧妙又隱蔽,但是要成功進行這樣的CSRF攻擊也是需要滿足一定前提條件的。
首先,在攻擊過程中,受害者張三在Tonr網站上的用戶會話(User Session)必須是有效的,也就是說,張三在受到攻擊前已經登錄了Tonr網站。
其次,整個攻擊必須在短時間內完成,因為OAuth2提供者頒發的Authorization Code有效期很短,OAuth2官方推薦的時間是不大于10分鐘,而一旦Authorization Code過期那么后續的攻擊也就不能進行下去了。
最后,一個Authorization Code只能被使用一次,如果OAuth2提供者收到重復的Authorization Code,它會拒絕當前的令牌申請請求。不止如此,根據OAuth2官方推薦,它還可以把和這個已經使用過的Authorization Code相關聯的access_token全部撤銷掉,進一步降低安全風險。
防御辦法
要防止這樣的攻擊其實很容易,作為第三方應用的開發者,只需在OAuth認證過程中加入state參數,并驗證它的參數值即可。具體細節如下:
(1) 在將用戶重定向到OAuth2的Authorization Endpoint去的時候,為用戶生成一個隨機的字符串,并作為state參數加入到URL中。
(2) 在收到OAuth2服務提供者返回的Authorization Code請求的時候,驗證接收到的state參數值。如果是正確合法的請求,那么此時接受到的參數值應該和上一步提到的為該用戶生成的state參數值完全一致,否則就是異常請求。
(3) state參數值需要具備下面幾個特性:
- 不可預測性:足夠的隨機,使得攻擊者難以猜到正確的參數值
- 關聯性:state參數值和當前用戶會話(user session)是相互關聯的
- 唯一性:每個用戶,甚至每次請求生成的state參數值都是唯一的
- 時效性:state參數一旦被使用則立即失效
總結
要避免遭受本文提到的CSRF攻擊問題,需要第三方應用正確的使用state參數,然而縱觀各大OAuth服務提供者,在其開發文檔里都沒有明確把state參數和CSRF攻擊聯系起來,僅僅只是像下面這樣一句話帶過:
| “參數:state
是否必須:否 說明:重定向后會帶上state參數,開發者可以填寫a-zA-Z0-9的參數值,最多128字節” |
讓事情變得更糟糕的是,state是可選參數,因此更容易被開發者忽略,造成安全風險。此外,本文中的攻擊非常巧妙,可以悄無聲息的攻陷受害者的賬號,難以被察覺到。
作為第三方應用的開發者,我們除了參考OAuth2服務提供者的開發文檔之外,還應當加深自己對OAuth2的理解,盡可能的避開這些安全的坑。 而作為OAuth2服務提供者,也應當承擔起提醒開發者注意防范安全風險的責任。
【本文是51CTO專欄作者“ThoughtWorks”的原創稿件,微信公眾號:思特沃克,轉載請聯系原作者】
