OAuth state参数 CSRF

最新推荐文章于 2024-11-11 15:54:49 发布
最新推荐文章于 2024-11-11 15:54:49 发布
阅读量1.8k 收藏
点赞数
分类专栏: 水滴石穿 文章标签: OAuth CSRF state
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littlelittlebai/article/details/110948676
版权
本文探讨了OAuth授权流程中的state参数对于防止CSRF攻击的重要性。内容指出,某些服务提供商可能未强制要求state参数,但正确的服务器端校验至关重要。通过举例说明,当服务器未检查state参数时,攻击者可能利用此漏洞将第三方账号与受害者账号绑定。解决方案是增加对state参数的验证步骤,确保其存在并匹配,以增强系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记录

之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。

有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的)

还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需要进行身份认证,所以,其实也是不存在可利用的漏洞的,无法发起CSRF

另外,还有一个问题,如果应用网站的处理是:校验了state参数。讲道理应该是没有问题的。但是我用的这个OAuth client端的模版(thephpleague),给的示例代码里其实是存在问题的。

示例代码如下(https://oauth2-client.thephpleague.com/usage/):

$provider = new \League\OAuth2\Client\Provider\GenericProvider([
    'clientId'                => 'XXXXXX',    // The client ID assigned to you by the provider
    'clientSecret'            => 'XXXXXX',    // The client password assigned to you by the provider
    'redirectUri'             => 'https://my.example.com/your-redirect-url/',
    'urlAuthorize'            => 'https://service.example.com/authorize',
    'urlAccessToken'          => 'https://se
最低0.47元/天 解锁文章
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0的state参数以及它如何阻止CSRF攻击
AI天才研究院
11-11 275
1.背景介绍 互联网行业快速发展带来的前景就是人工智能、物联网、云计算等新型的创新模式正在驱动着每一个企业的发展方向。随之而来的就是人们生活方式的更新换代,各种应用的涌现。这些新的应用需要跟上时代的步伐,从信息流量的爆炸到数据的增长,对用户数据安全和隐私的尤其是用户的个人信息的保护成为一个非常重要的议题。 为了更好地保障用户的隐私,在当下
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1810
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth2.0忽略state参数引发的CSRF漏洞
jiangyang100的博客
01-31 1335
这个参数在许多开放平台上也会有提及,比如新浪微博的 Oauth2/authorize(http://open.weibo.com/wiki/Oauth2/authorize ): 用于保持请求和回调的状态,在回调时,会在Query Parameter中回传该参数。答案就是用户乙绑定了用户丙的微博,用户丙绑定了用户乙的微博了……这种特性,导致这个漏洞在绝大多数网站根本无法快速撒网,只能定向劫持未绑定的用户到攻击者OAuth账号上,而攻击一次后,这个账号必须解绑才能用于别的攻击,导致利用难度增大不少。
关于OAuthstate参数的作用
06-28 1129
引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候,开发者的安全意识不高的话,很可能会忽略 state 参数,从而导致 出现 csrf 漏洞。但是在说明这个state参数前,有必要了解大部分程序员所写的绑定OAuth账号流程,由于绑定流程很多,这里挑最常见的“用户在第三方网站A...
OAuth2.0 里面的 state 参数是干什么的?
过河的小卒子的博客
12-24 6602
OAuth2.0 里面的 state 参数是干什么的? 是为了防止CSRF 攻击
针对OAuth2CSRF攻击
weixin_33763244的博客
10-25 519
http://www.jianshu.com/p/c7c8f51713b6 转载于:https://www.cnblogs.com/lcyuhe/p/7728352.html
OAuth2.0 如何防止CSRF攻击
最新发布
u012197505的博客
11-11 960
Msl-Admin网站将UserA的Github账号同UserB的Msl-Admin账号关联绑定起来,从此以后,UserA就可以用自己的Github账号通过OAuth2.0登录到UserB在Msl-Admin网站中的账号,堂而皇之的冒充UserB的身份执行各种操作。假设有用户UserB,攻击者UserA,第三方Web应用Msl-Admin(它集成了第三方社交账号登录,并且允许用户将社交账号和Msl-Admin中的账号进行绑定),以及OAuth2服务提供者Github。参数正是上一步截获到的code。
【转】Oauth2.0 里面的 state 参数是干什么的?
waltertan1988的博客
01-15 2911
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程中,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ?
q1472750149的博客
12-04 1642
前言 在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的 CSRF 攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的 PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
oauth2.0协议
07-17
The OAuth 2.0 Authorization Framework, RFC 6749官方文档完整版,全书总共128页。
CSRF
热门推荐
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1438
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
深入理解OAuth2.0 XSS CSRF CORS 原理
weixin_30587025的博客
05-18 227
基于Token的WEB后台认证机制 http://www.cnblogs.com/xiekeli/p/5607107.html 深入理解OAuth2.0协议http://blog.csdn.net/seccloud/article/details/8192707 理解OAuth 2.0http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html ...
OAuth2
qq_40851623的博客
06-14 350
OAuth2 权限验证
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 1822
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
csrf 生成java_java相关:详解利用spring-security解决CSRF问题
weixin_33640562的博客
02-28 444
java相关:详解利用spring-security解决CSRF问题发布于 2020-7-20|复制链接摘记: CSRF介绍CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:< ..CS...
Oauth2.0 安全性问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5680
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
OAuth 2.0 的 state 参数 java加密方法
11-08
OAuth 2.0 中的 `state` 参数通常用于防止跨站请求伪造 (CSRF) 攻击,它传递一个随机生成的值,在授权流程完成后返回给服务器验证。这个参数并不是必须加密,但它会被附加到重定向URL中,确保它是安全的。 在Java中,当你需要对 `state` 进行处理时,可以简单地生成并存储一个唯一的哈希值或对其进行编码。例如,你可以使用 `java.util.UUID` 生成一个随机UUID,或者使用`Base64`对字符串进行编码。这里有一个简单的示例: ```java import java.nio.charset.StandardCharsets; import java.util.Base64; public String generateState() { // 生成随机UUID String randomValue = UUID.randomUUID().toString(); // 对生成的随机值进行Base64编码 byte[] encodedValue = randomValue.getBytes(StandardCharsets.UTF_8); return Base64.getEncoder().encodeToString(encodedValue); } // 使用生成的state String state = generateState(); // ...然后将state附带到授权链接... // 授权回调后解码验证 if (decodeAndValidateState(request.getParameter("state")) == true) { // 执行后续操作... } private boolean decodeAndValidateState(String receivedState) { try { byte[] decodedBytes = Base64.getDecoder().decode(receivedState); String decodedValue = new String(decodedBytes, StandardCharsets.UTF_8); // 验证decodedValue是否匹配预期 return decodedValue.equals(randomValue); } catch (IllegalArgumentException e) { return false; // 状态无效,可能是攻击尝试 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值