面向OAuth2.0授权服务API的账号劫持攻击威胁检测

作     者：刘奇旭 邱凯丽 王乙文 陈艳辉 陈浪平 刘潮歌 LIU Qixu;QIU Kaili;WANG Yiwen;CHEN Yanhui;CHEN Langping;LIU Chaoge

作者机构：中国科学院信息工程研究所北京100093 中国科学院大学网络空间安全学院北京100049 

基　　金：国家重点研发计划基金资助项目(No.2016YFB0801604,No.2016QY08D1602) 中国科学院网络测评技术重点实验室基金资助项目 网络安全防护技术北京市重点实验室基金资助项目~~ 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2019年第40卷第6期

页      码：40-50页

摘      要：OAuth2.0授权协议在简化用户登录第三方应用的同时,也存在泄露用户隐私数据的风险,甚至引发用户账号被攻击劫持。通过分析OAuth2.0协议的脆弱点,构建了围绕授权码的账号劫持攻击模型,提出了基于差异流量分析的脆弱性应用程序编程接口(API)识别方法和基于授权认证网络流量监测的账号劫持攻击验证方法,设计并实现了面向OAuth2.0授权服务API的账号劫持攻击威胁检测框架OScan。通过对Alexa排名前10 000的网站中真实部署的3 853个授权服务API进行大规模测试,发现360个存在脆弱性的API。经过进一步验证,发现了80个网站存在账号劫持攻击威胁。相较类似工具,OScan在覆盖身份提供方(IdP)全面性、检测依赖方(RP)数量和威胁检测完整性等方面均具有明显的优势。

主 题 词：OAuth2.0协议 应用程序编程接口 账号劫持 第三方应用 

学科分类：0810[工学-土木类] 1205[管理学-图书情报与档案管理类] 0839[0839] 08[工学] 0811[工学-水利类] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11959/j.issn.1000-436x.2019144

馆 藏 号：203688989...