加急见刊

面向OAuth2.0授权服务API的账号劫持攻击威胁检测

刘奇旭; 邱凯丽; 王乙文; 陈艳辉; 陈浪平; 刘潮歌 中国科学院信息工程研究所; 北京100093; 中国科学院大学网络空间安全学院; 北京100049

摘要:OAuth2.0授权协议在简化用户登录第三方应用的同时,也存在泄露用户隐私数据的风险,甚至引发用户账号被攻击劫持。通过分析OAuth2.0协议的脆弱点,构建了围绕授权码的账号劫持攻击模型,提出了基于差异流量分析的脆弱性应用程序编程接口(API)识别方法和基于授权认证网络流量监测的账号劫持攻击验证方法,设计并实现了面向OAuth2.0授权服务API的账号劫持攻击威胁检测框架OScan。通过对Alexa排名前10 000的网站中真实部署的3 853个授权服务API进行大规模测试,发现360个存在脆弱性的API。经过进一步验证,发现了80个网站存在账号劫持攻击威胁。相较类似工具,OScan在覆盖身份提供方(IdP)全面性、检测依赖方(RP)数量和威胁检测完整性等方面均具有明显的优势。

注: 保护知识产权,如需阅读全文请联系通信学报杂志社