OAuth 2.0 认证和攻击面

0x00 前提

最近在测试公司的 oauth 认证方面的问题，要再去熟悉一下这块，所以把这块写一下。

0x01 OAuth2.0 概念

OAuth是一个关于授权（authorization）的开放网络标准，目前是最常见最通用的一个授权协议。

什么地方是OAuth2.0，其实这个东西非常的常见，

我们的快捷登录其实都是这个，拿这个举例子

那么为什么要用这个呢这个？

其实道理很简单，我们的网站首先使用这个快捷登录肯定是很方便，那么第三方网站和我们网站肯定是不能互相相信对方的，不可能将用户信息交给对方保存，所以一般情况下OAuth允许用户授予此访问权限，而无需将其登录凭据暴露给请求的应用程序。这意味着用户可以选择他们想要共享的数据，而不必将其帐户的账号密码交给第三方。

0x02 流程梳理

为了方便理解，直接用例子展示，首先我们要分清楚各个角色，我们简单分出4个部分：

resource owner（资源拥有者）：就是用户

resource server（资源服务器）：我们想要快捷登录的的网站 zeo.cool

User Agent：指浏览器。

authorization server（认证服务器）：三方授权服务器（例如 Google授权服务器），服务提供商专门用来处理认证授权的服务器，认证成功后向客户端发出访问令牌资源所有者身份验证，获取授权。

client_id ： 这个表示网站后台，我们的 zeo.cool的网站后端

在实际中有四种实现方式：

• 授权码模式
• 简化模式
• 密码模式
• 客户端模式

0x03 前提

某一个第三方应用 zeo.cool, 应用先去 Google认证中心进行注册。

提供一个回调地址 https://zeo.cool/oauth_calback

然后会得到：

ClientID = 888888 ： 这个是我的网站zeo.cool的一个标识符号

ClientsecretID = 6666666 ：这个类似私钥，要好好保存，绝对不能公开

0x04 令牌模式

在OAuth2.0中最常用的当属授权码模式

授权码模式（authorization code）是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。

注意：说明步骤(A)、(B)和©的线条在通过用户代理时被分成了两部分。在它们通过用户代理时被分成两部分。

（A）用户访问客户端，客户端将用户引导向认证服务器

客户端申请认证的URI，包含以下参数：

• response_type：表示授权类型，必选项，此处的值固定为"code"

• client_id：表示客户端的ID，必选项

• redirect_uri：表示重定向URI，可选项

• scope：表示申请的权限范围，可选项

• state：可以指定任意的随机字符串，可选项

https://www.google.com/v1/oauth/authorize?response_type=code&client_id=888888&redirect_uri=CALLBACK_URL&scope=read&state=dslakf54jlk5li54j

（B）用户选择是否给予客户端授权。

（C）如用户给予授权，Google 认证服务器将用户引导向客户端指定的redirection uri，同时加上授权码code。（用户点击授权后，Google 引导用户访问A步骤中指定的重定向url，并带着授权码code和state）

• code：表示授权码，必选项。该码的有效期应该很短，通常设为10分钟，客户端只能使用该码一次，否则会被授权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系。

• state：可以指定任意的随机字符串，可选项

https://zeo.cool/oauth_calback?code=SplxlOBeZQQYbYS6WxSbIA&state=dslakf54jlk5li54j

（D）zeo.cool 后段客户端收到code后，通过后台的服务器向认证服务器发送code和redirection uri。（zeo.cool带着接收到（C）步骤中的请求后，用授权码发送下面的请求去找Google认证服务器要token）

• grant_type：表示使用的授权模式，必选项，此处的值固定为"authorization_code"。

• code：表示上一步获得的授权码，必选项。

• redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。

• client_id：表示客户端ID，必选项。

(服务器后端操作)

https://www.Google.com/v1/oauth/token?client_id=888888&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=CALLBACK_URL

（E）Google认证服务器验证code和redirection uri，确认无误后，响应客户端访问令牌（access token）和刷新令牌（refresh token）。（响应（D）步骤的数据）

• access_token：表示访问令牌

• token_type：表示令牌类型，该值大小写不敏感

• expires_in：表示过期时间

• refresh_token：表示更新令牌

• scope：表示权限范围

    {
       "access_token":"sdjlkh13khekj2hjkhd23kjd",
       "token_type":"xxx",
       "expires_in":3600,
       "refresh_token":"zxfdcsa34323dxccc3",
       "example_parameter":"xxxxx"
     }

最后我的网站 zeo.cool 就可以拿着 access_token 去找Google 去换取相应的信息了

为什么要先发放授权码，再用授权码换令牌？

这是因为浏览器转向（通常就是一次HTTP 302重定向）对于用户是可见的，换言之，授权码可能会暴露给用户以及用户机器
上的其他程序，但由于用户并没有Clientsecret，而只有授权码是无法换取到令牌的，所以避免了令牌在传输转向过程中被泄
漏的风险。

0x05 令牌模式-攻击面

(1)授权码模式下的安全问题常出现在CSRF攻击：

（A）步骤当中，有一个参数是可选的 state，state并放在session中，这个是服务端生成的一个随机字符串，

然后再在（A）步骤中的请求中带上state，Google返回url带有授权码和state的我们的网站

这个时候需要在在服务器后端会去对比这个state是否一致，用来防止csrf攻击

如果没有state，就会存在一种攻击手法。

1、hacker先获取自己的code

2、制作一个CSRF页面，去做C步骤，去让受害者用过自己的cookie去做绑定

3、那么最终就会，把受害者的cookie绑定到hacker的账户上

(2) 回调URL校验问题

如果回调校验有问题 like

利用一下绕过的正则的技巧，可以把跳转到 hacker.com 这样你的code也一起带过去

就可以利用这个code来做后续的问题

https://www.google.com/v1/oauth/authorize?response_type=code&client_id=888888&redirect_uri=www.zeo.cool@www.hacker.com?call_back&scope=read&state=dslakf54jlk5li54j

0x06 简化模式（隐式授权模式）

简化模式（implicit grant type）不通过第三方应用程序的服务器，

直接在浏览器中向认证服务器申请令牌，跳过了"授权码"这个步骤，因此得名。

所有步骤在浏览器中完成，令牌对访问者是可见的，且客户端不需要认证。

（A）客户端将用户导向认证服务器。

A步骤中，客户端发出的HTTP请求，包含以下参数：

• response_type：表示授权类型，此处的值固定为"token"，必选项。

• client_id：表示客户端的ID，必选项。

• redirect_uri：表示重定向的URI，可选项。

• scope：表示权限范围，可选项。

• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

https://www.Google.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read&state=xxx

（B）用户决定是否给予客户端授权。

（C）假设用户给予授权，认证服务器将用户导向客户端指定的"重定向URI"，并在URI的Hash部分包含了访问令牌。

C步骤中，认证服务器回应客户端的URI，包含以下参数：

• access_token：表示访问令牌，必选项。

• token_type：表示令牌类型，该值大小写不敏感，必选项。

• expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。

• scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。

• state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。

https://www.example.com/callback#access_token =ACCESS_TOKEN&state=xyz&token_type=example&expires_in=3600&state=xxx

使用场景

• 适用于所有无Server端配合的应用

• 如手机/桌面客户端程序、浏览器插件。

• 基于JavaScript等脚本客户端脚本语言实现的应用。

0x07 简化模式攻击面

简化授权模式下的账户劫持

（1）那么实际场景就是当state参数不存在的时候可以进行csrf攻击

（2）伪造redirect_uri，提供商没有做好redirect_uri的校验

那我们需要做的是找到受信任的网站下的xss漏洞，然后重定向获取劫持access_token，在获取到access_token后完整攻击

0x08 密码模式

密码模式（Resource Owner Password Credentials Grant）中，用户向客户端提供自己的用户名和密码。客户端使用这些信息，向"服务商提供商"索要授权。

这种直接使用账号密码的情况极少，因为有违背最初的设计。

（A）用户向客户端提供用户名和密码。

（B）客户端将用户名和密码发给认证服务器，向后者请求令牌。

B步骤中，客户端发出的HTTP请求，包含以下参数：

• grant_type：表示授权类型，此处的值固定为"password"，必选项。

• username：表示用户名，必选项。

• password：表示用户的密码，必选项。

• scope：表示权限范围，可选项。

https://www.google.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID

（C）认证服务器确认无误后，向客户端提供访问令牌。

     {
       "access_token":"df908f890sdf09asd890",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"saf43r243fd34f4fg32g",
       "example_parameter":"example_value"
     }

0x09 客户端模式

客户端模式（Client Credentials Grant）指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。严格地说，客户端模式并不属于OAuth框架所要解决的问题。在此不做过多解释，只了解过程。

这个大多数在微服务的情况下，都是后端在自己做授权任务

该模式过程如下：

（A）客户端向认证服务器进行身份认证，并要求一个访问令牌。

• granttype：表示授权类型，此处的值固定为"client_credentials"，必选项。

• scope：表示权限范围，可选项。

https://www.example.com/token?grant_type=client_credentials

（B）认证服务器确认无误后，向客户端提供访问令牌。

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "example_parameter":"example_value"
     }

0x10 总结

攻击面主要是，CSRF绑定劫持漏洞，还有就是回调URL未校验，绕过校验，或者配合url跳转绕过啥的