Ανάπτυξη εργαλείου εύρεσης ευπαθειών στο πρωτόκολλο OAuth 2.0

Abstract

Στις μέρες μας, οι σύγχρονες εφαρμογές στο διαδίκτυο είναι συνδεδεμένες με διαφορετικές διεπαφές προγραμματισμού εφαρμογών προκειμένου να χρησιμοποιήσουν διάφορους πόρους που ανήκουν σε ένα χρήστη. Το γεγονός αυτό εγείρει ζητήματα εξουσιοδότησης σχετικά με τον τρόπο τον οποίο οι προγραμματιστικές διεπαφές μπορούν να αλληλεπιδράσουν έχοντας κατάλληλη εξουσιοδότηση. Στο πρόσφατο παρελθόν, ο τρόπος με τον οποίο γινόταν αυτή η ανταλλαγή της εξουσιοδότησης ήταν μέσω ορισμένων – αμφίβολης αποτελεσματικότητας τρόπων – διαμοιρασμού κωδικών που εξέθεταν τα διαπιστευτήρια ενός χρήστη στην εκάστοτε εφαρμογή που ήταν υλοποιημένη με τέτοιες συνδέσεις. Καθώς το ζήτημα αναγνωρίστηκε ως ένα σημαντικό ρίσκο για την ασφάλεια, ξεκίνησε να εισάγεται η θεμελίωση ενός προτύπου εξουσιοδότησης προκειμένου να εμποδιστούν τέτοιου είδους ρίσκα και να αποφευχθούν μια πληθώρα προσαρμοσμένων λύσεων που είχαν και ζητήματα ασφαλείας και παρουσίαζαν ασυνέπειες στις υλοποιήσεις τους. Η θεμελίωση αυτή εκφράστηκε με το πρότυπο OAuth 2.0 το οποίο υλοποιεί ένα πρωτόκολο εξουσιοδότησης που είναι σχεδιασμένο να παρέχει εξουσιοδότηση μεταξύ των εμπλεκομένων συστημάτων. Με τα παραπάνω ως κίνητρο, η συγκεκριμένη διπλωματική μεταπτυχιακή ερ- γασία επικεντρώνεται στη μελέτη της των διάφορων επιθέσεων που θα μπορούσαν να ανακύψουν στο OAuth Code Flow καθώς και στη σχεδίαση και ανάπτυξη ενός εργαλείου λογισμικού που είναι ικανό να ανιχνεύσει εσφαλμένενες διαμορφώσεις σε διακομιστές OAuth 2.0. Τέτοιες διαμορφώσεις θα μπορούσαν να οδηγήσουν σε πληθώρα ευπαθειών, επομένως το προτεινόμενο πλαίσιο μπορεί να χρησιμοποιηθεί για την ενίσχυση της ασφάλειας των διακομιστών OAuth.

Nowadays, modern web applications are connected to different APIs in order to use different resources that the user has in their possession. This raises authorization issues about how the APIs are able to interact with proper authorization. A few years ago, the only way to do that was through different password-sharing anti-patterns that inevitably exposed user credentials to any client application that was implementing such connections. When the issue was recognized as a serious security risk, the establishment of such a delegation framework started in order to prevent such security risks and also to avoid a huge variety of custom solutions that also were facing both security issues and inconsistencies in their implementations. This establishment was the OAuth 2.0 protocol which stands as a delegation protocol that is designed to provide authorization across systems. Motivated by this fact, this Master thesis focuses on the study of the diversity of the attacks that could be faced in OAuth Code Flow and also on the design and development of a framework which would be able to detect misconfigurations in OAuth servers. Such misconfigurations could potentially lead to a plethora of vulnerabilities, therefore such a framework can be used towards enhancing the security of OAuth servers.