作者: {LIG}@ArkTeam
原文作者:Mohammad Ghasemisharif, Amruta Ramesh, Stephen Checkoway, Chris Kanich and Jason Polakis
原文标题:O Single Sign-Off, Where Art Thou? An Empirical Analysis of Single Sign-On Account Hijacking and Session Management on the Web.
原文会议:The Proceedings of the 27 th USENIX Security Symposium.
SSO(单点登录)的出现使得网络变得紧密相连,使得用户不用为复杂的网站账户注册和管理而费神。然而它的广泛使用带来了巨大的安全风险,IdP( 身份提供商 ,如Facebook)中的账户被入侵后,攻击者能够控制用户在其他RP(依赖方,如第三方网站)中的账户。因此本文对这一攻击进行了实证研究,并提出了”Single-Sign-Off”这一缓解方案。
首先,本文设计了一个工具Puppeteer用来爬取Alexa上前1M的网站,对其中采取IdPs进行SSO的网站进行一个大规模研究。主要提出了两种RP账号劫持攻击。第一类攻击针对于用户使用自己的IdP账号在RP上注册了账号的场景,攻击过程如图1所示:
图1 RP账户劫持攻击过程
1)a,b: 攻击者通过钓鱼攻击或者WiFi嗅探获取到用户IdP的密码或IdP的cookie,用于之后的攻击。
2)使用IdP或将用户被劫持的会话cookie以”Login With IdP”的方式登入RP。
为了保持长期的访问权限,攻击者在入侵用户的RP账户之后,替换其绑定邮箱为自己的进行重置密码,在重置密码完成之后,再将邮箱还原为用户的。或者将用户的RP绑定两个独立的IdP账户,其中一个IdP账户是攻击者的账户。
第二类攻击是先发制人的账户劫持攻击。这类攻击针对于用户还未注册使用RP网站的服务的场景。攻击者在窃取到用户的IdP账户的凭证后,使用此凭证在RP上进行注册。由于在注册账户时,用户会收到注册账户的邮件提醒。为了避免此问题,攻击者在获得用户IdP的访问权限后,将自己的邮箱添加进用户的IdP账户中,并提高其优先级,使得注册账户的提醒邮件发到攻击者的邮箱中。在完成注册后,攻击者再将自己的邮箱从用户的IdP中移除。
紧接着本文通过对此两类攻击的研究发现了主流的SSO方案的固有局限性,即用户在发现自己的IdP账号被入侵之后,大多数的RP服务缺乏允许用户修复账户被劫持之后的功能。即使提供了此功能,对于用户而言,他无法进行大规模地修复所有的相关的RP账户。因此提出了”Single-Sign-Off”协议,用于撤销与用户被劫持的IdP账户相关联的所有账户的访问权限。
在SSO为互联网的集成做出重大贡献的同时,它也一直努力避免使IdP成为单点故障。尽管此属性并不是一个漏洞,但它确实将用户暴露在大量危险而隐蔽的攻击之下。本文作者希望借此呼吁社区对此的关注,并尝试思考解决现有SSO方案的缺点。
注:
1.爬取数据的工具: https://github.com/ GoogleChrome/puppeteer, 2017.
2.数据集: https://www.cs.uic.edu/~sso-study/
以上所述就是小编给大家介绍的《单点登出,你在哪儿?一个基于Web的SSO账户劫持与会话管理的实证分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 从零开始搭建服务器之登录和登出远程服务器
- 假设和实证(200425)
- 实证(10.22)
- 2019 Stata & Python 实证计量与爬虫分析暑期工作坊
- 预备通知 | stata & Python实证前沿与爬虫分析2019年工作坊
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
APIs
Daniel Jacobson、Greg Brail、Dan Woods / O'Reilly Media / 2011-12-24 / USD 24.99
Many of the highest traffic sites get more than half of their traffic not through the browser but through the APIs they have created. Salesforce.com (more than 50%) and Twitter (more than 75% fall int......一起来看看 《APIs》 这本书的介绍吧!