1.5.3 Модель Контроллер

Некоторые браузерные приложения используют iframe-контроллер для получения учетных данных. В отличие от фрейма-прокси, который сразу загружается с токеном в URL или внутри своей страницы, контроллер получает учетные данные через XHR-запрос на домен провайдера. Такой фрейм не должен перезагружаться, поскольку предназначен для выполнения различных API-запросов и не только для аутентификациии или авторизации.

1.5.4 Нативная модель

В последней группе находятся различные типы установленных приложений: нативные и мобильные. Такие приложения, в отличие от трех предыдущих сценариев, выполняются вне браузера, и поэтому используют для поддержки SSO-протокола либо встроенный, либо внешний браузер.

2 Атаки на некоторые SSO-сервисы и клиенты

2.1 Стандартная модель

Приложения и сервисы, реализующие логин по стандартной модели оказались наиболее стойкими, поскольку они не используют никаких дополнительных технологий или механизмов передачи данных, кроме HTTP-перенаправлений. В некоторых случаях, однако, уязвимой реализации перенаправлений вполне достаточно, чтобы атакующий смог получить доступ к данным жертвы через украденные учетные данные. Такая проблема актуальна, например, для implicit grant flow из OAuth 2, где известно, что наличие Open redirector'а на сайте клиента может быть достаточно для кражи токена из URL Fragment'а. При этом, с другой стороны, конечная точка OAuth-провайдера тоже является Open redirector'ом, как было показано ранее.

Далее был исследован случай, когда клиент OAuth-провайдера тоже содержит SSO-сервис на своем домене, так что его конечная точка SSO реализует Open redirector, через который можно украсть URL Fragment с учетными данными, выпущенными OAuth-провайдером:

Рисунок 3. Атака на SSO-сервисы, одновременно являющиеся SSO-клиентами

Из рассмотренных провайдеров потенциально уязвимым к такой атаке являются Facebook и Microsoft Live Connect из-за недостаточно строгой проверки redirect_uri. После этого возможность атаки проверялась на первых 50 сайтах из Alexa Top 500 Global Sites.

Из 50 сайтов 14 оказались клиентами Facebook OAuth 2, 7 из которых одновременно предоставляли собственный SSO-сервис и 2 из них оказались уязвимы к атаке кражи токена. Кроме рассмотренного случая с URL Fragment также возможны атаки с кражей URL query.

2.2 Прокси-модель

Прокси-фреймы задействуют множество различных способов передачи учетных данных клиентам помимо HTTP-перенаправлений. Одним из таких способов является Fragment, поддерживаемый прокси-скриптами Facebook OAuth 2 и Google OAuth 2. При передаче через этот транспорт прокси создает внутри своего окна специальный фрейм с URL, принадлежащим OAuth-клиенту. При этом, данные находятся в URL Fragment этого фрейма, который клиент успешно считывает, поскольку его окно и созданный фрейм находятся на одном домене. Поскольку URL для открытия передается прокси-скрипту через параметр, а также поскольку фрейм может направить внешнее окно (то есть, прокси) по новому адресу, этот транспорт можно рассмотреть как особый вариант Open redirector'а в SSO-провайдере. Для исследования здесь интересны возможные ошибки при конструировании URL и при направлении фрейма по этому адресу:

Рисунок 4. Атака на транспорт Fragment в прокси-фрейме

Среди рассмотренных SSO-сервисов два из них используют прокси-фреймы для передачи данных: Facebook OAuth 2 и Google OAuth 2, в каждом из них была найдена уязвимость, связанная с обработкой URL в транспорте Fragment. Прокси-фрейм в Facebook позволял поместить токен из Fragment в URL query, где такой токен становится уязвим к утечкам через Referrer и краже с помощью main-in-the-middle, поскольку теперь будет передаваться по сети вместе с URL, в отличие от Fragment-части. Прокси в Google OAuth 2 оказался уязвим к XSS благодаря слабой проверке параметра, задающего URL для загрузки [37].

2.3 Модель Контроллер

В случае Контроллера не происходит открытия новых окон или перенаправлений, но фрейм-контроллер отвечает за выполнение API-запросов на сервер через XHR от имени клиента, который запрашивает вызов какого-либо API-метода. При таком варианте возможно, что клиент может повлиять на URL и направить Контроллер к конечной точке SSO вместо загрузки необходимых данных:

Рисунок 5. Атака на XHR-обработчик Canvas-контроллера

Далее в работе была исследована платформа Facebook для Canvas - приложений. Фрейм-контроллер этой платформы позволял клиенту задать параметры для API-метода таким образом, конечная точка XHR для API-запросов выполняла запрос на OAuth-авторизацию и возвращая HTTP-ответ с кодом 302. Таким образом, удалось эксплуатировать XHR-обработчик, который получал на вход результаты перенаправленного запроса вместо оригинального. Поскольку возможность прозрачных перенаправлений при XHR-вызовах браузером ограничена только исходным доменом, необходимо было разместить нагрузку для эксплуатации XHR-обработчика на домене . В результате Canvas-платформа Facebook оказалась уязвимой к XSS [38].

2.4 Нативная модель

Поскольку установленные приложения используют либо встроенный или внешний браузер для поддержки SSO-логина, то одним из направлений для атак является манипуляция состояниями используемого браузера и обход политик или ограничений с помощью SSO-перенаправлений. Для исследования был выбран браузер Google Chrome в качестве приложения для атаки. Chrome позволяет выполнять синхронизацию данных после того, как пользователь залогинится в свой аккаунт. Вход в аккаунт использует OAuth 2, реализован через веб-форму логина и защищен помощью изоляции сайтов и особой политики для рендерера, выполняющего вход.

В ходе работы удалось выполнить успешную атаку на браузер, которая состояла из трех шагов. Сначала для обхода CSRF-защиты в веб-форме входа была использована XSS из 2.2. Далее в реализации ограничивающей политики для signin-рендерера было найдено несколько уязвимостей [37], связанных с неправильной обработкой OAuth-перенаправлений и позволяющих успешно завершить веб-логин и начать синхронизацию с учетной записью атакующего без подтверждения:

Рисунок 6. Атака на изоляцию сайтов и политику доверенного рендерера

На этом шаге у атакующего уже был полный доступ к аккаунту пользователя в Chrome. Последняя уязвимость позволяла выполнить код на машине пользователя с его полными правами через установку NPAPI-плагина.

Заключение

В работе была исследована безопасность современных технологий единого входа, для этого были рассмотрены основные механизмы обмена данными, задействованные семействами протоколов OAuth и OpenID. Работа таких механизмов - различных типов перенаправлений HTTP - была проанализирована в SSO-сервисах некоторых крупных  провайдеров, после чего показано, какие особенности и слабости есть у протоколов единого входа. Для исследования потенциальных проблем и возможностей для их эксплуатации предложена удобная классификация для различных вариантов работы SSO-логина. Затем для каждого сценария работы SSO-протокола найдена и показана во второй главе атака на приложение или сервис, использующая исследованные слабые места протоколов единого входа.

В результате всей работы был исследован не изученный ранее вектор для атак с использованием механизмов перенаправлений SSO, а также выяснено и показано, что недостатки в защищенности SSO-протоколов крупнейших сервис-провайдеров действительно существуют, кроме этого информация о самих уязвимостях и рекомендации к устранению были сообщены SSO-провайдерам. Обнаруженные в ходе работы уязвимости к этому моменту исправлены разработчиками.

Список литературы

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4