CC BY
24УДК 004.056.57
Седых А.В.
студентка группы ТКИ-541 по направлению подготовки «Компьютерная безопасность» «Российский университет транспорта» РУТ (МИИТ) (Россия, Москва)
Научный руководитель: Логинова Л.Н.
доцент, к.т.н., кафедра «Управление и защита информации» «Российский университет транспорта» РУТ (МИИТ) (Россия, Москва)
УЯЗВИМОСТИ ПРОТОКОЛА OAUTH 2.0 КАК СРЕДСТВО ДЛЯ ПРОВЕДЕНИЯ ФИШИНГОВОЙ АТАКИ
Аннотация: в работе рассмотрены принципы авторизации при помощи протокола OAuth 2.0, описаны потенциально уязвимые места процесса авторизации и средство проведения фишинговой атаки. Продемонстрированы меры предостережения для пользователей в Интернете.
Ключевые слова: кибербезопасность, авторизация, аутентификация, уязвимости, параметры запросов, фишинговые рассылки.
Задумывается ли каждый пользователь Интернета о том, что повседневные и даже обыденные процессы, происходящие с ним, могут привести к краже личных аккаунтов и к потере данных?
Ежедневно несколько тысяч человек проходят процедуры авторизации и аутентификации на различных интернет-ресурсах для того, чтобы получить необходимую информацию. И, вероятно, каждый из пользователей Интернета
встречался с возможностью авторизоваться с помощью сторонних сервисов. Этот процесс реализуется благодаря протоколам OAuth.
ОАиШ — это протоколы, позволяющие авторизоваться и получить права на доступ к данным одного веб-сервиса с помощью аккаунта другого веб-сервиса. Широко распространённые протоколы OAuth позволяют пользователям пропустить долгий процесс регистрации на определённых ресурсах. Однако, разработчикам, использующим данный вид протоколов, необходимо правильно организовать безопасность работы OAuth во избежание хищения данных пользователей.
Процедура работы протокола «OAuth 2.0» происходит следующим образом [1,2]:
- Приложение запрашивает у пользователя разрешение на доступ к серверу ресурсов.
- После получения разрешения приложение сообщает сведения о себе серверу авторизаций.
- В случае успешной проверки всех сведений сервер авторизаций выдаёт сгенерированный токен доступа приложению.
- Приложение предоставляет токен доступа серверу ресурсов.
- В случае успешной проверки токена сервер ресурсов предоставляет приложению доступ к запрашиваемым ресурсам.
1. Запрос авторизации -> 2. Разрешение на авторизацию ПОЛЬЗОВАТЕЛЬ (Владелец ресурса)
3. Разрешение на авторизацию
ГЛ )=• -1 / \
ПРИЛОЖЕНИЕ (клиент) 4. Токен доступа |=о -I АВТОРИЗАЦИОННЫЙ СЕРВЕР / \
5, Токен доступа
6. Защищённый ресурс СЕРВЕР РЕСУРСОВ
API СЕРВИСА
Рис. 1. Схема абстрактной работы протокола «OAuth 2.0»
В зависимости от запрашиваемых ресурсов и целей активности пользователя могут быть реализованы различные типы авторизации. [1,2] Типы авторизации схожи между собой по сценарию работы протокола «OAuth 2.0», но имеют большие различия по применению в запросах специальных параметров, отсутствие или некорректное использование которых создаёт уязвимые места в процессе авторизации.
Например, параметр «state» хранит не поддающееся определению значение, которое удостоверяет, что запрос к конечной точке авторизации исходит от того же лица, которое инициировало авторизацию. [3] При отсутствии параметра «state» злоумышленник может подменить запрос пользователя на свой, и, вследствие чего, злоумышленник будет иметь доступ к аккаунту жертвы.
Pretty Raw Hex gg \п =
1 рЕТ /o/oauth2/auth?client id=1748288£19É3 . apps . googleusercontent. comiredirect uri= http3l3A82Ft2F3tepik.orgl2Faccounts*2Fgoogle%2Flogin*2Fcallbacke2E&3cope=
httpsl3A82F%2Fwww. googleapia . comS2Fauth%2FuaeEinfо . en)a±l+httpa%3Ae2FÎ2E,'www. googleapis.come2Fauthi2Fuaerinfo.profilei Eeaponse_type™code&state=UpVKx27£FTwwiiacce3 3_type~Qnline HTTP/2
2 Host: accounts.google.сои
3 Cookie: 1P_JAR=2023-05-03-17; AE C=AUE F qZ eMWKo F E p KM41В HO A4 dZ F с ayKiB С t TR2 Ohj KkZ j TE aXf з14ma_8 L j о; HID=
5 H=cx_GF£lkDqBVXNf kEhzpbnWb7gweSl8 HroE 12 h8xj gIY]VvEATuWdGBQ42ARkXvQOb3 RF0F-Fk3DchRdhHNtKEuLf £nPYge-5inOZR0dAf Dk4tu2 haC ls
a 4 Rx DvS a Ge 84vrс 0 nx F Xr q-dd6 Ue C_-a Hn04 Qe P y3 QH4KiKDaUKvXOYI; _Hoat-GAPS=l:n_R2mgSepJk0qHpQJE2XWL2iIDutkg:lywCdmCXk4W3_ldV
; OTZ=7013840_44_44_123780_40_43£2É0
4 User-Agent: Moziiia/5.0 (Windows NT 10.0; Win£4; x£4; rv:10£.0) Gecko/20100101 Firefox/106.0
5 Accept : text/html,application/xhtrol+xral,application/xrol;q=Q.S,image/avif, image/webp, */* ; q=0.8
6 Accept -Language : ru-RU,ru;i^O. 8, en-US; q=0.5, en; q=0.3
7 Accept-Encoding: gzip, deflate
8 Referer: https://stepik,org/
9 Upgrade-Insecure-Requests: 1
10 Sec-Fetch-Dest: document
11 Sec-Fefcch-Mode: navigate
12 Sec-Fetch-Site: cross-site
13 Sec-Fetch-User: "?1
14 Te: trailers
Рис. 2. Пример запроса авторизации по протоколу «OAuth 2.0»
Другим примером уязвимого места может быть отсутствие проверки или недостаточный процесс проверки параметра «redirect_uri». Данный параметр отвечает за конечную точку, на которую должен быть перенаправлен браузер пользователя при отправке кода авторизации. [3] Злоумышленники могут подменить параметр «redirect_uri» на подконтрольную им конечную точку.
В настоящее время существует множество интернет-ресурсов, помогающих злоумышленникам обманным путём воспроизводить процессы авторизации. Такие ресурсы способны повторять точные модели сайтов, собирать все вводимые пользователем данные, а также позволяют рассылать правдоподобные письма потенциальным жертвам в качестве фишинговой рассылки. Одним из примеров фишинговых сервисов является фреймворк «Gophish», который разрабатывался для проведения быстрого аудита безопасности компании, позволяющего выяснить реакцию и поведение сотрудников на фишинговую рассылку. [4] В «Gophish» реализуется фишинговая рассылка для обучения персонала и сбора статистики, однако, в руках злоумышленников этот сервис с некоторыми изменениями превращается в средство хищения данных любых пользователей.
ф gophish
Dashboard Campaigns Users & Groups
Larding Pages Sending Profiles Account Settings User Management^^^ Webhooks ».-.irrri
UserGuide
API Documentation
пщ
Под0}рите1ьнэя активность
Envelope Sendee О
Поддержка Stepik * sedyhnastenkaiSimail.ru>
Subject:
Подоарител ьная активное!ь
Text HTML а / s-1 г, h= :: | не * | я | style -1 f !' 0 Source В
Здравствуйте, I.!. F
Жаяуйста перейш»
Рис. 3. Создание фишинговой рассылки с помощью фреймворка <^орЫэЬ>
Авторизация и аутентификация с помощью сторонних аккаунтов удобный, и, на данный момент, достаточно безопасный функционал. Тем не менее, по внешним признакам пользователь не может удостовериться в надёжности этих процессов. [3] Поэтому каждому пользователю в Интернете необходимо быть осторожным и внимательным к тому, кто является отправителем электронного письма и каково его содержание, а также следует не переходить по прямым ссылкам в письмах, заходить на ресурсы только по официальным Ц^-адресам и отслеживать активность своих аккаунтов в сети.
В работе рассмотрена концепция работы протокола авторизации, уязвимости которой могут привести к информационным инцидентам, связанных с кражей данных пользователей. Применяя специальные фишинговые ресурсы и приложения, злоумышленники могут воспользоваться уязвимостями процедуры авторизации и скомпрометировать данные пользователей, поэтому разработчикам и пользователям необходимо осторожно пользоваться процессом авторизации.
СПИСОК ЛИТЕРАТУРЫ:
1. Академия Бе1е^е1. ОАиШ 2.0: введение в протокол авторизации [Электронный ресурс].-2022. Режим доступа: https://selectel.ru/blog/oauth-2/.
2. DigitalOcean. Введение в OAuth 2.0 [Электронный ресурс].-2022. Режим доступа: https://www.digitalocean.com/community/tutorials/oauth-2-ru.
3. Anti-malware. Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях [Электронный ресурс].-2022. Режим доступа: https://www.anti-malware.ru/analytics/Threats_Analysis/OAuth20-flaws.
4. Xakep. Gophish - фреймворк для фишинга. Как писать фейковые письма и обманывать своих сотрудников [Электронный ресурс].-2022. Режим доступа: https://xakep.ru/2016/12/07/gophish-phishing-framework-howto/.
Sedykh A.V.
Student of the TKI-541 group for space training "Computer Security" "Russian University of Transport" RUT (MIIT) (Russia Moscow)
Scientific advisor: Loginova L.N.
Associate Professor, Ph.D., Department of Information Management and Protection "Russian University of Transport" RUT (MIIT) (Russia Moscow)
VULNERABILITIES OF OAUTH 2.0 PROTOCOL
AS A MEANS FOR PHISHING ATTACK
Abstract: in the work on the analysis of authorization results using the OAuth 2.0 protocol, special attention is paid to the place of the authorization process and the conduct of a phishing attack. Demonstrated precautionary measures for users on the Internet.
Keywords: cybersecurity, authorization, authentication, vulnerability, login parameters, phishing mailings.
