OAuth
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
安全分析
OAuth协议安全分析 ——以Android平台为例 王 晖
@上海交通大学 LoCCS GoSSIP
1
关于我 ? GoSSIP成员 ? ? ? 研究方向:协议分析、应用密码学、Android安全 微博 @GoSSIP_SJTU www.securitygossip.com ? 乌云实验室高级研究员 ? 专栏:SSL协议安全科普系列
2
OAUTH协议安全分析 ——以Android平台为例
3
? 什么是OAuth协议, ? 跟我们有什么关系,
4
什么是OAUTH? ? 开放的授权
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
(Open Authorization) ? 允许用户授权第三方网站访问他们存储在另 外的服务提供者上的信息 ? 不需要将用户名和密码提供给第三方网站
或 分享他们数据的所有内容 ? 2007年,OAuth 1.0 ? 2012年,OAuth 2.0 ? 授权 认证
5
6
OAUTH跟我们有什么关系?
7
部分OAUTH服务提供商 服务提供商 OAuth协议版本
新浪微博 腾讯QQ 微信 支付宝 2.0 2.0 2.0 2.0 Facebook Google Twitter 2.0 2.0 2.0
8
OAUTH不安全实现会怎样,——微信红包随便领 ? 微信
领红包URL
5redirect_uri=
shtml?showwxpaytitle=1sendid=1000000000201501092047478999channelid=1
msgtype=1from=singlemessageisappinstalled=0us=***********ver=1sign
=***********clientversion=26000238devicetype=android19pass_ticket=***********timeguid=14207873040300.4459930493030697respo
nse_type=codescope=snsapi_basestate=STATEconnect_redirect=1#wechat_red irect ? WooYun-2015-90898
9
OAUTH不安全实现会怎样,——微信红包随便领
10
大纲 ? Android平台OAuth实现的安全问题 ? OAuth协议简介 ? Android平台中OAuth实现的特性 ? 对Android平台中OAuth实现的安全审计 ? 案例分析
11
ANDROID平台OAUTH实现的安全问题 ? 国内15家主流
OAUTH服务提供商,14家存在至少一种安全问题
12
国内主流服务提供商OAUTH实现特点概况
13
ANDROID平台OAUTH实现的安全问题 ? 应用市场TOP
100的应用,84个使用OAUTH,81个存在安全问题
14
主要漏洞类型 ? 不安全的用户代理 (V1) ? 缺乏协议参与者身份认证 (V2) ? 不安全的信息传输 (V3) ? 不安全的秘密管理 (V4) ? 不正确的服务器端参数校验 (V5) ? 不正确的认证凭据 (V6)
15
TOP 100 APP使用OAUTH服务授权和认证数量
16
TOP 100 APP使用
17