oauth.net/advisories/2014-1-covert-redirect/ oauth.net/advisories/2014-1-covert-redirect/2014 年 5 月 4 日
隠蔽リダイレクトとは、セキュリティ研究者である Wang Jing が 2014 年の春に名付けたオープンリダイレクター攻撃に対する名称です。
悪意のある攻撃者が、OAuth クライアントから OAuth 2.0 認可サーバーに対するリクエストを傍受し、攻撃者はリクエスト内の「redirect_uri」というクエリパラメータを改ざんします。その目的は OAuth 認可サーバーから返される OAuth レスポンスを、元のリクエストを送信したクライアントではなく、悪意のある場所に送信させることで、返された秘密を攻撃者が把握できるようにすることです。
いいえ。 セクション 4.1.5 および セクション 4.2.4 の公式 OAuth 2.0 脅威モデル(RFC 6819)では、この脅威についての詳細が記載されており、セクション 5.2.3.5 には推奨の軽減策が記載されています。この脅威は一般に、「オープンリダイレクター」として知られています。この脅威モデルは、2013 年 1 月に RFC として承認され、多くの OAuth の実装やデプロイメントで効果的に使用されており、オープンリダイレクター攻撃に対するサービスの保護に使用されています。
クライアントまたは認可サービスのいずれかとして OAuth 2.0 をデプロイする人は誰でも、この件で懸念を抱くべきです。ただし、この件は新たな脅威ではありません。OAuth 2.0 をデプロイする人は誰でも、RFC 6819 に記載されているすべての脅威に対する軽減策を知り、理解する必要があります。この脅威だけでなく、です。
RFC 6819 のセクション 5.2.3.5 で説明されているとおり、クライアントに完全なリダイレクト URI を登録させる
状態パラメータを使用して、リダイレクト URI に追加しなくてもカスタム情報をリクエストに追加する。(注意: 状態パラメータに URL を含めないでください。そうしないと、再度、オープンリダイレクトの脆弱性につながる可能性があります。)