Item type |
SIG Technical Reports(1) |
公開日 |
2022-07-05 |
タイトル |
|
|
タイトル |
ブラウザの拡張機能を用いた脆弱なOAuth2.0実装の検知 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Detection of vulnerable OAuth2.0 implementations by browser extensions |
言語 |
|
|
言語 |
jpn |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
著者所属 |
|
|
|
立命館大学大学院情報理工学研究科 |
著者所属 |
|
|
|
立命館大学情報理工学部 |
著者所属 |
|
|
|
立命館大学総合科学技術研究機構/大阪大学 |
著者所属 |
|
|
|
立命館大学情報理工学部 |
著者名 |
国広, 真吾
鄭, 俊俊
猪俣, 敦夫
上原, 哲太郎
|
著者名(英) |
Shingo, Kunihiro
Junjun, Zheng
Atsuo, Inomata
Tetsutarou, Uehara
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
OAuth2.0 を用いてユーザ認証の統合を行う Web アプリケーションが広く普及している.OAuth2.0 にはクロスサイトリクエストフォージェリ (以下 CSRF) 攻撃等に対する脆弱性が存在しており,開発者が Web アプリケーションに OAuth2.0 を実装する際に,URL に state パラメータを付与する等の対策をすることが必要とされている.しかし,CSRF 攻撃等に脆弱であるまま OAuth2.0 を実装している Web アプリケーションが複数確認されている.本研究では,CSRF 攻撃等に脆弱な OAuth2.0 の実装をしている Webアプリケーションを検知し,ユーザへ知らせる事で CSRF 攻撃等の被害を未然に防ぐ事を目的とし,ブラウザの拡張機能を用いて検知する手法を提案した.結果,ブラウザの拡張機能を用いることで,CSRF 攻撃への対策が不十分なまま OAuth2.0 実装をしている Web アプリケーションを検知することが可能であった. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
OAuth2.0 is widely used in Web applications that realize integrated user authentication. But OAuth 2.0 is vulnerable to cross-site request forgery (CSRF) attacks and developers are asked to take adequate countermeasures such as adding a state parameter to the redirect URL in their web applications. It has been confirmed that some OAuth 2.0 implementations are vulnerable to CSRF attacks. In this study, we proposed a detection method using the browser extension with the aim of preventing damage from CSRF attacks by detecting web applications of which OAuth 2.0 implementation is vulnerable to the CSRF attack and notify users of the vulnerability. As a result, it was possible to detect web applications that implement OAuth2.0 without sufficient countermeasures against CSRF attacks by using the browser extension. |
書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2022-IOT-58,
号 5,
p. 1-8,
発行日 2022-07-05
|
ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |