Discovering Concrete Attacks on Website Authorization by Formal Analysis

Chetan Bansal; Karthikeyan Bhargavan; Antoine Delignat-Lavaud; Sergio Maffeis

Rapport (Rapport De Recherche) Année : 2013

Discovering Concrete Attacks on Website Authorization by Formal Analysis

(1) , (2) , (2) , (3)

1
2
3

Chetan Bansal

Fonction : Auteur
PersonId : 940498

Microsoft Research [Redmond]

Karthikeyan Bhargavan

Fonction : Auteur
PersonId : 8036
IdHAL : karthik
ORCID : 0000-0002-3152-8997
IdRef : 198350155

Programming securely with cryptography

Antoine Delignat-Lavaud

Fonction : Auteur
PersonId : 940495

Programming securely with cryptography

Sergio Maffeis

Fonction : Auteur
PersonId : 940496

Department of Computing [London]

Résumé

Social sign-on and social sharing are becoming an ever more popular feature of web applications. This success is largely due to the APIs and support offered by prominent social networks, such as Facebook, Twitter, and Google, on the basis of new open standards such as the OAuth 2.0 authorization protocol. A formal analysis of these protocols must account for malicious websites and common web application vulnerabilities, such as cross-site request forgery and open redirectors. We model several configurations of the OAuth 2.0 protocol in the applied pi-calculus and verify them using ProVerif. Our models rely on WebSpi, a new library for modeling web applications and web-based attackers that is designed to help discover concrete attacks on websites. Our approach is validated by finding dozens of previously unknown vulnerabilities in popular websites such as Yahoo and WordPress, when they connect to social networks such as Twitter and Facebook.

Sous l'effet de la généralisation des réseaux sociaux tels que Facebook, Twitter et Google+, les modules d'authentification unique ont été intégré à une quantité croissante de sites internet, phénomène amplifié depuis l'adoption de protocoles standardisés comme OAuth 2.0. L'analyse de ces nouveaux protocoles doit tenir compte de la puissance d'un attaquant web, qui peut exploiter des failles largement répandues, par exemple, le cross-site request forgery ou les redirecteurs ouverts. Nous proposons des modèles en pi-calcul appliqué pour différentes configurations du protocole OAuth 2.0, que nous vérifions à l'aide de ProVerif. Ces modèles s'appuyent sur la librairie WebSpi pour la modélisation des applications web et les divers attaquants correspondants. Notre approche est validée par la découverte de plusieurs dizaines de nouvelles failles dans des services aussi populaires que Yahoo ou Wordpress, lorsque qu'on accès à eux depuis des réseaux sociaux comme Facebook ou Twitter.

Mots clés

single sign-on OAuth web protocol cross-site request forgery ProVerif WebSpi

Domaines

Web

Fichier principal

oauth.pdf (1.46 Mo)

Origine : Fichiers produits par l'(les) auteur(s)

Antoine Delignat-Lavaud : Connectez-vous pour contacter le contributeur

https://inria.hal.science/hal-00815834

Soumis le : vendredi 19 avril 2013-14:22:46

Dernière modification le : jeudi 15 février 2024-03:30:56

Archivage à long terme le : samedi 20 juillet 2013-04:02:30

Dates et versions

hal-00815834 , version 1 (19-04-2013)

Identifiants

HAL Id : hal-00815834 , version 1

Citer

Chetan Bansal, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Sergio Maffeis. Discovering Concrete Attacks on Website Authorization by Formal Analysis. [Research Report] RR-8287, INRIA. 2013, pp.46. ⟨hal-00815834⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

UNIV-RENNES1 INRIA IRISA INRIA-RRRT INRIA2 LARA UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES UR1-MATH-NUM

219 Consultations

923 Téléchargements

Discovering Concrete Attacks on Website Authorization by Formal Analysis

Résumé

Mots clés

Domaines

Dates et versions

Identifiants

Citer

Exporter

Collections

Partager