OAuth 2.0 威胁模型渗透测试清单

清单

重定向 URI 验证不足

通过Referer Header的凭证泄漏

通过浏览器历史记录泄露

混合攻击

授权码注入

访问令牌注入

跨站请求伪造

资源服务器的访问令牌泄漏

资源服务器的访问令牌泄漏

307 重定向

TLS 终止反向代理

客户端冒充资源所有者

点击劫持

其他安全注意事项

请求的保密性

服务器认证

始终通知资源所有者

证书

凭证存储保护

标准 SQLi 对策

没有明文存储凭据

凭据加密

使用非对称密码学

对秘密的在线攻击

密码政策

秘密的高熵

锁定帐户

焦油坑

验证码的使用

令牌（访问、刷新、代码）

限制令牌范围

到期时间

到期时间短

限制使用次数/一次使用

将令牌绑定到特定资源服务器（受众）

使用端点地址作为令牌受众

受众和令牌范围

将令牌绑定到客户端 ID

签名令牌

令牌内容加密

具有高熵的随机令牌值

访问令牌

授权服务器

授权码

如果检测到滥用，则自动撤销派生令牌

刷新令牌

限制发行刷新令牌

将刷新令牌绑定到 client_id

刷新令牌替换

刷新令牌撤销

将刷新令牌请求与用户提供的机密相结合

设备识别

客户端认证和授权

Client_id 仅与强制用户同意结合使用

Client_id 仅与 redirect_uri 结合使用

验证预注册的 redirect_uri

客户机密撤销

使用强客户端身份验证（例如 client_assertion / client_token）

最终用户授权

重复授权的自动处理需要客户端验证

最终用户验证客户端属性

授权码绑定到client_id

授权码绑定到redirect_uri

客户端应用安全

不要将凭据存储在与软件包捆绑在一起的代码或资源中

标准 Web 服务器保护措施（用于配置文件和数据库）

将机密存储在安全存储中

利用设备锁防止未经授权的设备访问

平台安全措施

资源服务器

检查授权标头

检查经过身份验证的请求

检查签名请求