Assessing the security status of systems using the OAuth 2.0 authorization protocol

• Autorzy: Kania Dominik , Górny Piotr

Identyfikatory

DOI

10.5604/01.3001.0055.0853

Warianty tytułu

PL

Ocena stanu bezpieczeństwa systemów korzystających z protokołu autoryzacji OAuth 2.0

• Języki publikacji: EN

Abstrakty

EN

The article presents an analysis of the security of systems using the OAuth 2.0 protocol. It is an authorization protocol widely used in websites, including the largest in the world. It is characterized by high complexity and complicated operation. However, when used correctly, it provides significant convenience for users in sharing data with web applications from other websites. This describes specialized tests that were conducted to identify weaknesses in the basic OAuth 2.0 implementation. Based on these tests, the threats and risks associated with inaccurate implementation were identified, along with a presentation of their potential effects.

PL

Artykuł przedstawia analizę stanu bezpieczeństwa systemów wykorzystujących protokół OAuth 2.0. Jest to protokół autoryzacji szeroko stosowany w serwisach internetowych, w tym największych na świecie. Charakteryzuje się dużą złożonością i skomplikowanym działaniem. Prawidłowo wykorzystywany zapewnia jednak użytkownikom znaczną wygodę w udostępnianiu danych aplikacjom internetowym z innych serwisów. Opisano tu specjalistyczne testy, które zostały przeprowadzone w celu zidentyfikowania słabych punktów w podstawowej implementacji OAuth 2.0. Na podstawie tych testów zidentyfikowano zagrożenia i ryzyka związane z niedokładną implementacją, wraz z przedstawieniem ich potencjalnych skutków.

Słowa kluczowe

EN

authorization; protocol; vulnerability

PL

autoryzacja; protokół; podatność

• Wydawca: Institute of Computer and Information Systems, Faculty of Cybernetics, Military University of Technology
• Czasopismo: Computer Science and Mathematical Modelling
• Rocznik: 2024
• Tom: No. 19
• Strony: 15--23
• Opis fizyczny: Bibliogr. 17 poz., rys.

Twórcy

autor

Kania Dominik

• Netcompany Poland, Puławska St. 180, 02-670 Warsaw, Poland

autor

Górny Piotr

• Military University of Technology, Faculty of Cybernetics, Kaliskiego St. 2, 00-908 Warsaw, Poland

• https://orcid.org/0000-0003-3181-6320

Bibliografia

• [1] Homakov E., “How I hacked Github again”, https://homakov.blogspot.com/2014/02/how-i-hacked-github-again.html (accessed: 29.05.2024).
• [2] Baikar A., “Facebook OAuth Framework Vulnerability”, https://www.amolbaikar.com/facebook-oauth-framework-vulnerability/ (accessed: 29.05.2024).
• [3] “Chained Bugs to Leak Victimʼs Uberʼs FB Oauth Token”, https://hackerone.com/reports/202781 (accessed: 29.05.2024).
• [4] Reizelman M., “Creating comments on confidential issues through mass assignment”, https://gitlab.com/gitlab-org/gitlab-foss/-/issues/56500 (accessed: 29-05-2024).
• [5] Katz T., “Bypassing GitHub's OAuth flow”, https://blog.teddykatz.com/2019/11/05/github-oauth-bypass.html (accessed: 29.05.2024).
• [6] Stepankin M., “Hidden OAuth attack vectors”, https://portswigger.net/research/hidden-oauth-attack-vectors (accessed: 29.05.2024).
• [7] Wilson Y., Hignikar A., Solving Identity Management in Modern Applications, Demystifying OAuth 2.0, OpenID Connect and SAML 2.0, Apress, San Francisco 2019.
• [8] Parecki A., “OAuth 2.0”, https://oauth.net/2/ (accessed: 11.12.2023).
• [9] Hardt D. (Ed.), The OAuth 2.0 Authorization Framework, Microsoft, Internet Engineering Task Force (IETF), 2012, https://datatracker.ietf.org/doc/html/rfc6749 (accessed: 28.05.2024).
• [10] Port Swigger, “OAuth 2.0 authentication vulnerabilities”, https://portswigger.net/web-security/oauth (accessed: 29.05.2024).
• [11] CWE, “CWE-601: URL Redirection to Untrusted Site (ʻOpen Redirectʼ)”, https://cwe.mitre.org/data/definitions/601.html (accessed: 29.05.2024).
• [12] Parecki A., “Auth Server Example Flow”, https://www.oauth.com/oauth2-servers/server-side-apps/example-flow/ (accessed: 28.05.2024).
• [13] Vickie L., “Stealing OAuth Tokens With Open Redirects”, https://sec.okta.com/articles/2021/02/stealing-oauth-tokens-open-redirects (accessed: 04.04.2024).
• [14] Keycloak, “Authorization Services Guide”, https://www.keycloak.org/docs/26.1.4/authorization_services/ (accessed: 01.04.2025).
• [15] Roate N., “How to architect OAuth 2.0 authorization using Keycloak”, https://www.redhat.com/architect/oauth-20-authentication-keycloak (accessed: 29.05.2024).
• [16] Riesenberg S., “Spring Authorization Server is on Spring Initializr!”, https://spring.io/blog/2023/05/24/spring-authorization-server-is-on-spring-initializr (accessed: 28.05.2024).
• [17] Spring OAuth 2.0 Authorization Server project repository, https://github.com/spring-projects/spring-authorization-server (accessed: 28.05.2024).