2026-05-21T16:27:04Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00218792 2025-01-19T15:01:57Z 1164:4088:10830:10916

ブラウザの拡張機能を用いた脆弱なOAuth2.0実装の検知 Detection of vulnerable OAuth2.0 implementations by browser extensions 国広, 真吾 鄭, 俊俊 猪俣, 敦夫 上原, 哲太郎 Shingo, Kunihiro Junjun, Zheng Atsuo, Inomata Tetsutarou, Uehara OAuth2.0 を用いてユーザ認証の統合を行う Web アプリケーションが広く普及している．OAuth2.0 にはクロスサイトリクエストフォージェリ (以下 CSRF) 攻撃等に対する脆弱性が存在しており，開発者が Web アプリケーションに OAuth2.0 を実装する際に，URL に state パラメータを付与する等の対策をすることが必要とされている．しかし，CSRF 攻撃等に脆弱であるまま OAuth2.0 を実装している Web アプリケーションが複数確認されている．本研究では，CSRF 攻撃等に脆弱な OAuth2.0 の実装をしている Webアプリケーションを検知し，ユーザへ知らせる事で CSRF 攻撃等の被害を未然に防ぐ事を目的とし，ブラウザの拡張機能を用いて検知する手法を提案した．結果，ブラウザの拡張機能を用いることで，CSRF 攻撃への対策が不十分なまま OAuth2.0 実装をしている Web アプリケーションを検知することが可能であった． OAuth2.0 is widely used in Web applications that realize integrated user authentication. But OAuth 2.0 is vulnerable to cross-site request forgery (CSRF) attacks and developers are asked to take adequate countermeasures such as adding a state parameter to the redirect URL in their web applications. It has been confirmed that some OAuth 2.0 implementations are vulnerable to CSRF attacks. In this study, we proposed a detection method using the browser extension with the aim of preventing damage from CSRF attacks by detecting web applications of which OAuth 2.0 implementation is vulnerable to the CSRF attack and notify users of the vulnerability. As a result, it was possible to detect web applications that implement OAuth2.0 without sufficient countermeasures against CSRF attacks by using the browser extension. 情報処理学会 2022-07-05 jpn technical report https://ipsj.ixsq.nii.ac.jp/records/218792 2188-8787 AA12326962 研究報告インターネットと運用技術（IOT） 2022-IOT-58 5 1 8 https://ipsj.ixsq.nii.ac.jp/record/218792/files/IPSJ-IOT22058005.pdf application/pdf 2.9 MB 2024-07-05