Enviar pesquisa
Carregar
idcon mini vol3 CovertRedirect
•
5 gostaram
•
1,689 visualizações
Ryo Ito
Seguir
http://idcon.doorkeeper.jp/events/11429 の参加者になんとなく読んでおいてもらいたいざっくりとした資料
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 17
Baixar agora
Baixar para ler offline
Recomendados
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Ryo Ito
Facebookアクセストークンのセキュリティ再確認
Facebookアクセストークンのセキュリティ再確認
Yoichi Toyota
Idcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
Recomendados
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Ryo Ito
Facebookアクセストークンのセキュリティ再確認
Facebookアクセストークンのセキュリティ再確認
Yoichi Toyota
Idcon11 implicit demo
Idcon11 implicit demo
Ryo Ito
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
Ryo Ito
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
go_router が隠してくれるもの
go_router が隠してくれるもの
cch-robo
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Ryo Ito
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
Ryo Ito
BackplaneProtocol超入門
BackplaneProtocol超入門
Ryo Ito
UserManagedAccess_idcon13
UserManagedAccess_idcon13
Ryo Ito
WebIntents × SNS
WebIntents × SNS
Ryo Ito
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
Ryo Ito
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
Ryo Ito
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ryo Ito
Ritou idcon7
Ritou idcon7
Ryo Ito
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
Mais conteúdo relacionado
Semelhante a idcon mini vol3 CovertRedirect
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
Ryo Ito
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
go_router が隠してくれるもの
go_router が隠してくれるもの
cch-robo
Semelhante a idcon mini vol3 CovertRedirect
(8)
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Azure ADとIdentity管理
Azure ADとIdentity管理
go_router が隠してくれるもの
go_router が隠してくれるもの
Mais de Ryo Ito
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Ryo Ito
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
Ryo Ito
BackplaneProtocol超入門
BackplaneProtocol超入門
Ryo Ito
UserManagedAccess_idcon13
UserManagedAccess_idcon13
Ryo Ito
WebIntents × SNS
WebIntents × SNS
Ryo Ito
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
Ryo Ito
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
Ryo Ito
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ryo Ito
Ritou idcon7
Ritou idcon7
Ryo Ito
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
0905xx Hybrid Memo
0905xx Hybrid Memo
Ryo Ito
Anonymous OAuth Test
Anonymous OAuth Test
Ryo Ito
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
Ryo Ito
Mais de Ryo Ito
(17)
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
BackplaneProtocol超入門
BackplaneProtocol超入門
UserManagedAccess_idcon13
UserManagedAccess_idcon13
WebIntents × SNS
WebIntents × SNS
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ritou idcon7
Ritou idcon7
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
0905xx Hybrid Memo
0905xx Hybrid Memo
Anonymous OAuth Test
Anonymous OAuth Test
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
Último
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Último
(11)
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
idcon mini vol3 CovertRedirect
1.
OAuth and Covert
Redirect #idcon mini Vol.3 参考資料 @ritou 2014/5 1
2.
本資料の目的 idcon mini Vol.3で取り扱うネタ を紹介するもの じっくりプレゼンするつもりは ない 2
3.
内容 OAuth 2.0とCovert Redirectの おさらい OAuth
2.0の各フローにてAuthZ Responseが第3者に渡るリスク についてちょっとだけ説明 3
4.
Covert Redirect4
5.
5 http://goo.gl/EZPH55
6.
どうしてこうなった Serverのredirect_uri検証? ClientのOpenRedirector? User-Agentのフラグメント引継 ぎの仕様? OAuth 2.0のImplicit Grant? このあたりはもう説明不要なはず 6
7.
とりあえず、2つの問題に分割 任意のURLにユーザーを誘導でき ること Authorization Responseが第3者 に取得されること 7
8.
任意のURLにユーザーを誘導で きてしまうこと リスク 意図せぬURL遷移(フィッシングな どに使われる) 対策 Serverは厳密にredirect_uriを チェック ClientはOpenRedirector作らない 8
9.
Authorization Responseが第3 者に取得されること リスク Implicit :
access_token持ってい かれるオワタ、Token置換攻撃… code : ? 対策 stateパラメータ?拡張? 当日はこの辺りを確認しましょう 9
10.
OAuth 2.0 Authorization Response10
11.
response_type=token 下記パラメータがfragmentについて くる access_token token_type expires_in scope state 11
12.
Access Tokenが漏れる影響 APIアクセスが可能 どうしようもない… 正規のredirect_uriにつけて Token置換攻撃 stateチェックを実装して対策 攻撃者のセッション(state既知)で 第3者のTokenが使われたら? 12
13.
response_type=code 下記パラメータがqueryについてくる code state 13
14.
Codeが漏れる影響 Confidential Clientならば攻撃者が Access Tokenを取得できない 正規のredirect_uriにかましてCode Interception
Attack redirect_uriチェックでOK 普通はここで部分一致とかしない ヤバそうなケースを知ってたら教え てください 14
15.
気になる拡張仕様15
16.
OAuth Proof of
Possession 「わいらは OAuth 2.0 の Proof of Possession ちゅう拡張にも取り組んどる んやが、こいつはええで。これ使えば attacker が漏洩した access token を使 うことすら防止できるっちゅうシロモン や。」 http://www.thread- safe.com/2014/04/oauth-proof-of- possession-drafts.html この話しても良いかも 16
17.
それでは当日 お待ちしております 17
Baixar agora