[フレーム]

サクサク読めて、
アプリ限定の機能も多数!

はてなブックマーク
テクノロジー
OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

テクノロジーカテゴリーの変更を依頼記事元:akaki.io

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

297users がブックマークコメント 8

ゲスト

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

297 users akaki.io

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント8件

注目コメント
新着コメント

ritou

ritou クライアント認証とリダイレクトURIのハンドリングの関係は独立していることは認識してもらいたい。重要なのはネイティブアプリにおいてクライアント認証できない、カスタムURI重複の問題が交差するということ。

2021年07月06日リンク

その他

field_combat

field_combat リダイレクトURIを不正アプリのカスタムURLで横取りできる

セキュリティ

2021年07月05日リンク

その他

efcl

efcl PKCEによるOAuthの乗っ取り対策のコード例

2021年07月06日リンク

その他

rryu

rryu ネイティブアプリでOAuthする際にカスタムURLスキームを使ってはいけない話。

2021年07月06日リンク

その他

ritou

2021年07月06日リンク

その他

efcl

efcl PKCEによるOAuthの乗っ取り対策のコード例

2021年07月06日リンク

その他

yamadar

yamadar なるほど、これなら確かに横取りできるな。対策もなるほど

セキュリティ

2021年07月06日リンク

その他

yujiorama

yujiorama 偽アプリはどうやってclient_idを知るんだろう。公開情報なんだっけ

security

2021年07月05日リンク

その他

DecoyMaker

DecoyMaker "RFC 8252や現状のOAuth 2.1では、リダイレクトURIにはカスタムURLスキームよりも、ユニバーサルリンクのような乗っ取りが困難なHTTP URLスキームの使用を推奨"

2021年07月05日リンク

その他

field_combat

field_combat リダイレクトURIを不正アプリのカスタムURLで横取りできる

セキュリティ

2021年07月05日リンク

その他

NOV1975

NOV1975 「リダイレクトURIにはカスタムURLスキームよりも、ユニバーサルリンクのような乗っ取りが困難なHTTP URLスキームの使用を推奨している。」こっちが本道だよな。

2021年07月05日リンク

その他

ゲスト

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

[<a href="https://b.hatena.ne.jp/entry.parts?url=https%3A%2F%2Fakaki.io%2F2021%2Fauthz_code_interception">フレーム</a>]

プレビュー

[フレーム]

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック!

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました!

さんが1番目にブックマークした記事「OAuthにおける認可...」が注目されています。

気持ちをシェアしよう

ツイートする

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

OAuthにおける認可コード横取り攻撃とその対策 2021年7月5日前回の記事で示したように、カスタムURLス... OAuthにおける認可コード横取り攻撃とその対策 2021年7月5日前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。ネイティブアプリ

ブックマークしたユーザー

y-teraoka2025年08月04日 y-teraoka
stntaku2025年01月29日 stntaku
miki_bene2023年08月30日 miki_bene
techtech05212023年04月27日 techtech0521
nagatomo-beautiful552023年03月04日 nagatomo-beautiful55
r_abe012022年09月12日 r_abe01
wazly2021年09月26日 wazly
HF_frt16232021年07月18日 HF_frt1623
dieth2021年07月09日 dieth
m-ogawa01472021年07月08日 m-ogawa0147
myfirm2021年07月07日 myfirm
mas-higa2021年07月07日 mas-higa
a-know2021年07月07日 a-know
yugui2021年07月07日 yugui
eigo_s2021年07月06日 eigo_s
kyo_ago2021年07月06日 kyo_ago
nna7742021年07月06日 nna774
tarao2021年07月06日 tarao

すべてのユーザーの
詳細を表示します

同時期にブックマークされた記事

自分が気づかないところにこそプロの仕事が施されている。たとえば、広告のデザインには「目線の誘導」が行われているって知ってましたか? - ぶらやまだ

1 user kunipi.hatenablog.jp

気に入った記事をブックマーク

エントリーの編集

タイトルガイドライン

ブックマークしました

おすすめタグタグについて

よく使うタグすべて表示

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

おすすめタグタグについて

よく使うタグすべて表示

はてなブックマークで関心をシェアしよう

記事へのコメント8件

リンクを埋め込む

プレビュー

関連記事

usersに達しました!

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

ブックマークしたユーザー

ブックマークしたすべてのユーザー

同時期にブックマークされた記事

公式Twitter

はてなのサービス

よく使うタグ

よく使うタグ

はてなブックマークで
関心をシェアしよう