OAuth state参数 CSRF

最新推荐文章于 2023-01-31 15:57:01 发布
最新推荐文章于 2023-01-31 15:57:01 发布
阅读量1.7k 收藏
点赞数
分类专栏: 水滴石穿 文章标签: OAuth CSRF state
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littlelittlebai/article/details/110948676
版权
本文探讨了OAuth授权流程中的state参数对于防止CSRF攻击的重要性。内容指出,某些服务提供商可能未强制要求state参数,但正确的服务器端校验至关重要。通过举例说明,当服务器未检查state参数时,攻击者可能利用此漏洞将第三方账号与受害者账号绑定。解决方案是增加对state参数的验证步骤,确保其存在并匹配,以增强系统安全性。
摘要由CSDN通过智能技术生成

记录

之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。

有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的)

还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需要进行身份认证,所以,其实也是不存在可利用的漏洞的,无法发起CSRF

另外,还有一个问题,如果应用网站的处理是:校验了state参数。讲道理应该是没有问题的。但是我用的这个OAuth client端的模版(thephpleague),给的示例代码里其实是存在问题的。

示例代码如下(https://oauth2-client.thephpleague.com/usage/):

$provider = new \League\OAuth2\Client\Provider\GenericProvider([
    'clientId'                => 'XXXXXX',    // The client ID assigned to you by the provider
    'clientSecret'            => 'XXXXXX',    // The client password assigned to you by the provider
    'redirectUri'             => 'https://my.example.com/your-redirect-url/',
    'urlAuthorize'            => 'https://service.example.com/authorize',
    'urlAccessToken'          => 'https://se
最低0.47元/天 解锁文章
youGuess28
关注
专栏目录
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0的state参数以及它如何阻止CSRF攻击
程序员光剑
11-11 179
1.背景介绍 互联网行业快速发展带来的前景就是人工智能、物联网、云计算等新型的创新模式正在驱动着每一个企业的发展方向。随之而来的就是人们生活方式的更新换代,各种应用的涌现。这些新的应用需要跟上时代的步伐,从信息流量的爆炸到数据的增长,对用户数据安全和隐私的尤其是用户的个人信息的保护成为一个非常重要的议题。 为了更好地保障用户的隐私,在当下
OAuth2.0 微信授权机制
weixin_33910137的博客
05-03 154
我在了解设计Restful接口的时候,发现涉及到接口验证,可以利用OAuth2.0机制来验证。 我开发的微信端Web网页通过微信授权的时候,微信端也是用OAuth2.0机制来获取用户基本信息。 OAuth2.0 有四种授权模式:授权模式(微信)、简化模式(前者简化版)、密码模式、客户端模式。 授权模式(微信) 开发的微信端Web应用可以利用通过微信来获取用户基本信息,这样就免了用户去注册登录的繁杂...
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1755
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth2.0忽略state参数引发的CSRF漏洞
jiangyang100的博客
01-31 997
这个参数在许多开放平台上也会有提及,比如新浪微博的 Oauth2/authorize(http://open.weibo.com/wiki/Oauth2/authorize ): 用于保持请求和回调的状态,在回调时,会在Query Parameter中回传该参数。答案就是用户乙绑定了用户丙的微博,用户丙绑定了用户乙的微博了……这种特性,导致这个漏洞在绝大多数网站根本无法快速撒网,只能定向劫持未绑定的用户到攻击者OAuth账号上,而攻击一次后,这个账号必须解绑才能用于别的攻击,导致利用难度增大不少。
关于OAuthstate参数的作用
06-28 1019
引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候,开发者的安全意识不高的话,很可能会忽略 state 参数,从而导致 出现 csrf 漏洞。但是在说明这个state参数前,有必要了解大部分程序员所写的绑定OAuth账号流程,由于绑定流程很多,这里挑最常见的“用户在第三方网站A...
OAuth2.0 里面的 state 参数是干什么的?
过河的小卒子的博客
12-24 5737
OAuth2.0 里面的 state 参数是干什么的? 是为了防止CSRF 攻击
你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ?
q1472750149的博客
12-04 1585
前言 在微服务实战:基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中, 介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中,我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数(state nonce)来防止可能的 CSRF 攻击,以及 OAuth 推荐的用于防止重定向拦截攻击的 PKCE(Proof Key for Code Exchange)机制。最后将附上基于Spring Security的代码实现。
针对OAuth2的CSRF攻击
weixin_33763244的博客
10-25 494
http://www.jianshu.com/p/c7c8f51713b6 转载于:https://www.cnblogs.com/lcyuhe/p/7728352.html
oauth2.0协议
07-17
The OAuth 2.0 Authorization Framework, RFC 6749官方文档完整版,全书总共128页。
【转】Oauth2.0 里面的 state 参数是干什么的?
waltertan1988的博客
01-15 2715
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程中,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
CSRF
热门推荐
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1222
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
深入理解OAuth2.0 XSS CSRF CORS 原理
weixin_30587025的博客
05-18 198
基于Token的WEB后台认证机制 http://www.cnblogs.com/xiekeli/p/5607107.html 深入理解OAuth2.0协议http://blog.csdn.net/seccloud/article/details/8192707 理解OAuth 2.0http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html ...
OAuth2
qq_40851623的博客
06-14 245
OAuth2 权限验证
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 1576
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
Oauth2.0 安全性问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5528
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
oauth2.0业务参数
最新发布
08-26
OAuth 2.0 是一种授权协议,用于在不共享用户名和密码的情况下授权第三方应用访问受保护的资源。在进行 OAuth 2.0 授权时,通常需要传递一些业务参数。以下是常见的 OAuth 2.0 业务参数: 1. `client_id`:用于标识客户端应用的唯一标识符。 2. `client_secret`:用于客户端应用进行认证的密码或密钥。 3. `redirect_uri`:在用户授权后,重定向回客户端应用的 URI。 4. `response_type`:表示授权服务器返回的响应类型,常见的有 `code`(用于授权码模式)和 `token`(用于隐式授权模式)。 5. `scope`:表示客户端应用请求的权限范围。 6. `state`:用于维护客户端应用的状态,在授权完成后会原样返回给客户端应用,用于防止 CSRF 攻击。 7. `grant_type`:表示客户端应用请求的授权类型,常见的有 `authorization_code`(用于授权码模式)和 `password`(用于密码模式)。 这些参数通常通过请求的 URL 参数或请求体中进行传递。具体的使用方式和参数组合取决于使用的授权流程和服务提供商的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值