저번에 다뤘던 Oauth에 내용을 추가해 보겠다.
Oauth
1. 하나의 로그인을 이용해 다수의 관련 없는 웹사이트들에 접근할 수 있음
à 접근한다는 것은 무슨 말인가..??
è 크게 2가지 의미를 가진다.
è 1. 로그인을 위한 인증을 해준다
è 2. 권한을 준다 ( = 인가 )
Ex : facebook을 통해서 다른 사이트에 연동을 한다 .
è 인증 ( login ) 이 된것이고 , 권한을 주었다.
Ex : 카카오톡에서 상태명에 노래가 있을 시 멜론으로 넘어감 , 카카오톡 인터페이스에서 멜론이 켜진다. 그렇지만 1분만 노래가 나온다 . 이 때 권한은 안준것이다.
2. 공통 프로토콜을 지닌다.
3. 상용화 된 것은 2017년부터 , google 과 twitter에서 적극 추친을 하고 지원하였기 때문에 처음 나왔을 때 google과 twitter밖에 없었던 것
4. 써드파티 ( third party ) : 제 3자
5. HTTPS 에서만 작동 ( s : secure )
6. 과연 이 방법이 안전한 방법인가 ??
안전하지는 않다.
7. Oauth 동작 과정
à 리소스 소유자 : 위에서 카카오톡 , # linkedin : 어떤 사람의 이력을 확인 할 수 있다.
클라이언트 : 사용자
절차과정을 알기 .
2번에서 facebook..트위터 등등이 잇다는 것을 보여줌 ( 뭘로 회원가입 할래 ? )
3번에서 권한을 부여한다.
4번에서 선택된 종류의 인증 서버에서 토큰을 하나 준다 .
5번에서 사용자가 카카오톡 ( 리소스 서버 ) 에 아까 받은 토큰으로 액세스 접근한다 ( ID/PW 포함해서 )
승인이 되었다는 얘기는 인증 서버가 액세스 토큰을 주었다는 것이다
취약점
è 이메일로 인증 받을 때 , 이메일로 가정한 가짜 이메일을 만들어서
è 액세스 토큰을 가로채면 ID를 뺏을 수 있다.
파이어아이에서 이메일의 오남용이 되는지 안되는지 알 수 있다.
--> http://: https://github.com/fireeye/PwnAuth
Oauth 에서 말하는 접근이라 함은 , 인증과 권한을 말하는 것이다.
이 방법에서 필요한 것은 액세스 토큰이다.
'학부공부 > 인터넷보안과응용' 카테고리의 다른 글
| Oauth-심화2 (0) | 2018.09.11 |
|---|---|
| 패스워드 크랙으로 패스워드 취약성 알아보기 (0) | 2018.09.11 |
| 웹 해킹 과정 , 발전 배경 (0) | 2018.09.07 |
| Burp Suite로 웹사이트 정보 수집하기 (0) | 2018.09.07 |
| 웹 프록시를 이용한 HTTP 패킷 분석 (0) | 2018.09.06 |
#IT #먹방 #전자기기 #일상
#개발 #일상
