Discovering Concrete Attacks on Website Authorization by Formal Analysis

Résumé : Sous l'effet de la généralisation des réseaux sociaux tels que Facebook, Twitter et Google+, les modules d'authentification unique ont été intégré à une quantité croissante de sites internet, phénomène amplifié depuis l'adoption de protocoles standardisés comme OAuth 2.0. L'analyse de ces nouveaux protocoles doit tenir compte de la puissance d'un attaquant web, qui peut exploiter des failles largement répandues, par exemple, le cross-site request forgery ou les redirecteurs ouverts. Nous proposons des modèles en pi-calcul appliqué pour différentes configurations du protocole OAuth 2.0, que nous vérifions à l'aide de ProVerif. Ces modèles s'appuyent sur la librairie WebSpi pour la modélisation des applications web et les divers attaquants correspondants. Notre approche est validée par la découverte de plusieurs dizaines de nouvelles failles dans des services aussi populaires que Yahoo ou Wordpress, lorsque qu'on accès à eux depuis des réseaux sociaux comme Facebook ou Twitter.
Type de document :
Rapport
[Research Report] RR-8287, INRIA. 2013, pp.46
Domaine :
Liste complète des métadonnées

Littérature citée [44 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/hal-00815834
Contributeur : Antoine Delignat-Lavaud <>
Soumis le : vendredi 19 avril 2013 - 14:22:46
Dernière modification le : samedi 17 septembre 2016 - 01:36:41
Document(s) archivé(s) le : samedi 20 juillet 2013 - 04:02:30

Fichier

oauth.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : hal-00815834, version 1

Collections

Citation

Chetan Bansal, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Sergio Maffeis. Discovering Concrete Attacks on Website Authorization by Formal Analysis. [Research Report] RR-8287, INRIA. 2013, pp.46. 〈hal-00815834〉

Partager

Métriques

Consultations de la notice

253

Téléchargements de fichiers

631