Седых А.В., Логинова Л.Н.
УЯЗВИМОСТИ ПРОТОКОЛА OAUTH 2.0 КАК СРЕДСТВО ДЛЯ ПРОВЕДЕНИЯ ФИШИНГОВОЙ АТАКИ *
Аннотация:
в работе рассмотрены принципы авторизации при помощи протокола OAuth 2.0, описаны потенциально уязвимые места процесса авторизации и средство проведения фишинговой атаки. Продемонстрированы меры предостережения для пользователей в Интернете
Ключевые слова:
кибербезопасность, авторизация, аутентификация, уязвимости, параметры запросов, фишинговые рассылки
УДК 004.056.57
Седых А.В.
студентка группы ТКИ-541
по направлению подготовки «Компьютерная безопасность»
«Российский университет транспорта» РУТ (МИИТ)
(Россия, Москва)
Научный руководитель:
Логинова Л.Н.
доцент, к.т.н., кафедра «Управление и защита информации»
«Российский университет транспорта» РУТ (МИИТ)
(Россия, Москва)
УЯЗВИМОСТИ ПРОТОКОЛА OAUTH 2.0 КАК СРЕДСТВО
ДЛЯ ПРОВЕДЕНИЯ ФИШИНГОВОЙ АТАКИ
Аннотация: в работе рассмотрены принципы авторизации при помощи протокола OAuth 2.0, описаны потенциально уязвимые места процесса авторизации и средство проведения фишинговой атаки. Продемонстрированы меры предостережения для пользователей в Интернете.
Ключевые слова: кибербезопасность, авторизация, аутентификация, уязвимости, параметры запросов, фишинговые рассылки.
Задумывается ли каждый пользователь Интернета о том, что повседневные и даже обыденные процессы, происходящие с ним, могут привести к краже личных аккаунтов и к потере данных?
Ежедневно несколько тысяч человек проходят процедуры авторизации и аутентификации на различных интернет-ресурсах для того, чтобы получить необходимую информацию. И, вероятно, каждый из пользователей Интернета встречался с возможностью авторизоваться с помощью сторонних сервисов. Этот процесс реализуется благодаря протоколам OAuth.
OAuth — это протоколы, позволяющие авторизоваться и получить права на доступ к данным одного веб-сервиса с помощью аккаунта другого веб-сервиса. Широко распространённые протоколы OAuth позволяют пользователям пропустить долгий процесс регистрации на определённых ресурсах. Однако, разработчикам, использующим данный вид протоколов, необходимо правильно организовать безопасность работы OAuth во избежание хищения данных пользователей.
Процедура работы протокола «OAuth 2.0» происходит следующим образом [1,2]:
- Приложение запрашивает у пользователя разрешение на доступ к серверу ресурсов.
- После получения разрешения приложение сообщает сведения о себе серверу авторизаций.
- В случае успешной проверки всех сведений сервер авторизаций выдаёт сгенерированный токен доступа приложению.
- Приложение предоставляет токен доступа серверу ресурсов.
- В случае успешной проверки токена сервер ресурсов предоставляет приложению доступ к запрашиваемым ресурсам.
Рис. 1. Схема абстрактной работы протокола «OAuth 2.0»
В зависимости от запрашиваемых ресурсов и целей активности пользователя могут быть реализованы различные типы авторизации. [1,2] Типы авторизации схожи между собой по сценарию работы протокола «OAuth 2.0», но имеют большие различия по применению в запросах специальных параметров, отсутствие или некорректное использование которых создаёт уязвимые места в процессе авторизации.
Например, параметр «state» хранит не поддающееся определению значение, которое удостоверяет, что запрос к конечной точке авторизации исходит от того же лица, которое инициировало авторизацию. [3] При отсутствии параметра «state» злоумышленник может подменить запрос пользователя на свой, и, вследствие чего, злоумышленник будет иметь доступ к аккаунту жертвы.
Рис. 2. Пример запроса авторизации по протоколу «OAuth 2.0»
Другим примером уязвимого места может быть отсутствие проверки или недостаточный процесс проверки параметра «redirect_uri». Данный параметр отвечает за конечную точку, на которую должен быть перенаправлен браузер пользователя при отправке кода авторизации. [3] Злоумышленники могут подменить параметр «redirect_uri» на подконтрольную им конечную точку.
В настоящее время существует множество интернет-ресурсов, помогающих злоумышленникам обманным путём воспроизводить процессы авторизации. Такие ресурсы способны повторять точные модели сайтов, собирать все вводимые пользователем данные, а также позволяют рассылать правдоподобные письма потенциальным жертвам в качестве фишинговой рассылки. Одним из примеров фишинговых сервисов является фреймворк «Gophish», который разрабатывался для проведения быстрого аудита безопасности компании, позволяющего выяснить реакцию и поведение сотрудников на фишинговую рассылку. [4] В «Gophish» реализуется фишинговая рассылка для обучения персонала и сбора статистики, однако, в руках злоумышленников этот сервис с некоторыми изменениями превращается в средство хищения данных любых пользователей.
Рис. 3. Создание фишинговой рассылки с помощью фреймворка «Gophish»
Авторизация и аутентификация с помощью сторонних аккаунтов удобный, и, на данный момент, достаточно безопасный функционал. Тем не менее, по внешним признакам пользователь не может удостовериться в надёжности этих процессов. [3] Поэтому каждому пользователю в Интернете необходимо быть осторожным и внимательным к тому, кто является отправителем электронного письма и каково его содержание, а также следует не переходить по прямым ссылкам в письмах, заходить на ресурсы только по официальным URL-адресам и отслеживать активность своих аккаунтов в сети.
В работе рассмотрена концепция работы протокола авторизации, уязвимости которой могут привести к информационным инцидентам, связанных с кражей данных пользователей. Применяя специальные фишинговые ресурсы и приложения, злоумышленники могут воспользоваться уязвимостями процедуры авторизации и скомпрометировать данные пользователей, поэтому разработчикам и пользователям необходимо осторожно пользоваться процессом авторизации.
СПИСОК ЛИТЕРАТУРЫ:
Номер журнала Вестник науки №6 (63) том 3
Ссылка для цитирования:
Седых А.В., Логинова Л.Н. УЯЗВИМОСТИ ПРОТОКОЛА OAUTH 2.0 КАК СРЕДСТВО ДЛЯ ПРОВЕДЕНИЯ ФИШИНГОВОЙ АТАКИ // Вестник науки №6 (63) том 3. С. 903 - 908. 2023 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/9091 (дата обращения: 17.05.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2023. 16+