午夜亚洲国产日本电影一区二区三区,九九久久99综合一区二区,国产一级毛片视频,草莓视频在线观看精品最新

加急見刊

面向OAuth2.0授權服務API的賬號劫持攻擊威脅檢測

劉奇旭; 邱凱麗; 王乙文; 陳艷輝; 陳浪平; 劉潮歌 中國科學院信息工程研究所; 北京100093; 中國科學院大學網絡空間安全學院; 北京100049

摘要:OAuth2.0授權協議在簡化用戶登錄第三方應用的同時,也存在泄露用戶隱私數據的風險,甚至引發(fā)用戶賬號被攻擊劫持。通過分析OAuth2.0協議的脆弱點,構建了圍繞授權碼的賬號劫持攻擊模型,提出了基于差異流量分析的脆弱性應用程序編程接口(API)識別方法和基于授權認證網絡流量監(jiān)測的賬號劫持攻擊驗證方法,設計并實現了面向OAuth2.0授權服務API的賬號劫持攻擊威脅檢測框架OScan。通過對Alexa排名前10 000的網站中真實部署的3 853個授權服務API進行大規(guī)模測試,發(fā)現360個存在脆弱性的API。經過進一步驗證,發(fā)現了80個網站存在賬號劫持攻擊威脅。相較類似工具,OScan在覆蓋身份提供方(IdP)全面性、檢測依賴方(RP)數量和威脅檢測完整性等方面均具有明顯的優(yōu)勢。

注: 保護知識產權,如需閱讀全文請聯系通信學報雜志社