当前位置:网站首页 > 黑客培训 > 正文

PwnAuth:OAuth滥用攻击检测和响应平台

freebuffreebuf 2018-05-31 345 0

本文来源:secist

背景

鱼叉式网络钓鱼攻击被视为企业最大的网络威胁之一。只需一名员工大意的输入了他的凭据,或运行了一些未知的恶意软件,就可能会使整个企业网络掌控于攻击者,甚至瘫痪。因此,公司往往会选择投入大量的资源,来防止凭证收集和有效载荷驱动的社会工程学攻击。但是对于非传统但同样危险社会工程学方法OAuth滥用,却没有给予足够的重视。在OAuth滥用攻击中,受害者授权第三方应用程序访问其帐户。一旦获得授权,应用程序就可以访问用户的数据,而不需要凭证并绕过可能存在的任何双因素身份验证。

今天,我发布了PwnAuth,这是一个让组织和渗透测试人员能够拥有测试其检测和响应OAuth滥用社会工程活动能力的平台。在发布该工具时,我们希望提高人们对这种威胁的认识,提高安全社区的检测能力,并为防御者提供对策。

转到我们的GitHub开始使用PwnAuth

OAuth简介

OAuth 2.0被描述为“一种开放协议,允许从Web,移动和桌面应用程序以简单标准的方法进行安全授权......”它已成为亚马逊,谷歌,Facebook和微软等主要互联网公司事实上的协议,以促进授权第三方应用程序访问用户数据。访问Microsoft OneDrive以便轻松进行文件共享的应用程序,就是一个很好的OAuth利用的示例。

我们以访问OneDrive的应用程序为例,在OAuth授权流程中定义一些角色

应用程序或“客户端(Client)”

请求访问的第三方应用程序。在此情况下,希望访问您的OneDrive文件的应用程序为“客户端(Client)”。

API“资源(Resource)”

“客户”希望访问的目标应用程序。在此种情况下,Microsoft OneDrive API端点为“资源(Resource)”。

“资源所有者(Resource Owner)”

允许访问其部分帐户的人员。在此情况下,是你。

授权服务器

授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源或不同的组件相同。在此情况下,Microsoft登录门户是“授权服务器”。

范围

范围定义为第三方应用程序请求的访问类型。大多数API资源将定义应用程序可以请求的一组范围。这与Android手机应用程序在安装时请求的权限类似。在此示例中,应用程序可能会请求访问你的OneDrive文件和用户配置文件。

OAuth 2.0提供了几种不同的授权“grant类型”,以更好的满足用户与之交互的不同应用程序。在此我们将对“授权代码”grant类型做进一步的说明,该授权类型由实现OAuth的Web应用程序使用。 以下是授权流程示例:

1.创建一个“同意”链接,通过标识应用程序和请求的作用域的参数,将资源所有者引导至授权服务器。

https://login.microsoftonline.com/auth ?response_type=code 但是,特定范围和应用程序信息未记录在日志中。

我创建了一组脚本来帮助管理员在云环境中搜索恶意OAuth应用程序。目前有一个脚本可用于Office 365,后续我计划将添加支持更多的云环境。

总结

OAuth滥用攻击是一种危险且非传统的网络钓鱼技术,攻击者可利用这种技术获取组织的机密数据。随着我们将更多服务迁移到云中,企业应小心锁定第三方应用程序访问权限,并确保其监控和检测策略涵盖应用程序许可授予。组织和安全专业人员可以使用PwnAuth来测试他们检测和响应这种新型攻击的能力。

*参考来源:fireeye,FB小编 secist 编译,转载请注明来自FreeBuf.COM

转载请注明来自网盾网络安全培训,本文标题:《PwnAuth:OAuth滥用攻击检测和响应平台》

标签:OAuthPwnAuth

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表