专利汇可以提供Android平台OAuth协议误用安全检测方法专利检索,专利查询,专利分析的服务。并且一种Android平台OAuth协议误用安全检测方法,根据Android平台特性建立 覆盖 OAuth协议生命周期的安全模型;然后分析不同服务厂商提供的 软件 开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;再分别进行静态代码分析、动态流量分析以检测应用实现与规范的不一致性、SSL实现正确性以及 服务器 端的实现正确性。本 发明 能够全面分析Android应用中OAuth协议的误用和潜在 风 险,基于一个覆盖OAuth协议生命周期的安全模型,系统化地对应用使用OAuth协议进行认证或授权的流程进行分析,识别潜在的不正确实现。同时,本方案的安全模型可以为服务厂商的SDK实现及应用开发者的OAuth实现提供安全指导,帮助开发者在Android应用正确实现OAuth协议。,下面是Android平台OAuth协议误用安全检测方法专利的具体信息内容。
1.一种Android平台OAuth协议误用安全检测方法,其特征在于,包括以下步骤:
步骤1、根据Android平台特性建立覆盖OAuth协议生命周期的安全模型;
步骤2、分析不同服务厂商提供的软件开发套件和规范,识别出不同厂商的OAuth实现中的关键敏感参数,提取敏感参数生成配置文件用于Android应用分析;
步骤3、静态代码分析,识别出它支持的OAuth服务提供商,OAuth协议实现类型,硬编码字符串;
步骤4、动态流量分析,提取应用所使用的关键参数,与步骤2中的配置文件匹配,检测应用实现与规范的不一致性;对网络通信进行各种SSL攻击测试,检测应用的SSL实现正确性;对包含关键参数的请求和响应进行修改和重放,检测应用服务器端的实现正确性;
所述的安全模型包括:攻击假设、攻击者类型、威胁模型,其中:
攻击者类型包括:网络攻击者、恶意第三方app、恶意消费者app、逆向攻击者、恶意服务厂商app或其组合;
威胁模型包括:
a、登录阶段:恶意消费者app获取用户登录凭据、恶意服务厂商app获取用户登录凭据、网络攻击者窃听用户登录凭据或其组合;
b、授权阶段:恶意消费者app修改授权接口、恶意第三方app从服务厂商app骗取OAuth认证凭据、针对redirect_uri参数的跨站请求伪造攻击、网络攻击者窃听认证码或者资源访问令牌、逆向攻击者获取消费者app的应用密码、恶意第三方app从Android手机本地文件系统中获取app的应用密码或OAuth凭据或其组合;
c、资源访问阶段:重放已授权资源访问请求、网络攻击者窃听消费者服务器认证用户身份的认证凭据或其组合。
2.根据权利要求1所述的方法,其特征是,所述的敏感参数包括:用户名username、密码password、重定向网址redirect_uri、范围信息scope、状态信息state、授权码authorization code、授权类型grant_type、客户名client_id、客户密码client_secret、授权令牌access token。
3.根据权利要求1所述的方法,其特征是,所述的识别具体是指:通过模式匹配找到服务厂商提供OAuth服务时所用的特定字符串、方法名称、活动名称,来判断当前Android应用使用了哪些服务厂商的OAuth服务。
4.根据权利要求1所述的方法,其特征是,所述的关键参数包括:重定向网址redirect_uri、范围信息scope、状态信息state、授权码authorization code、授权类型grant_type、客户名client_id、客户密码client_secret、授权令牌access token。
5.根据权利要求1所述的方法,其特征是,所述的SSL攻击测试包括:SSL证书替换攻击测试、SSL stripping攻击测试。
6.根据权利要求1所述的方法,其特征是,所述的修改是指:把某一关键参数的值修改为任意值,或替换成其他用户的请求中对应的值,同时保持其他参数值不变。
7.根据权利要求1所述的方法,其特征是,所述的重放是指:对包含认证码的请求进行重放,检验认证码是否仅能使用一次。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种Web应用漏洞检测规则生成方法、终端及存储介质 | 2020-05-12 | 170 |
一种CSRF漏洞的检测方法及装置 | 2020-05-12 | 390 |
一种电力工控系统静态和动态漏洞分析与挖掘方法 | 2020-05-11 | 530 |
一种虚拟机访问方法、装置和计算机设备 | 2020-05-14 | 320 |
一种防止跨站请求伪造攻击的方法及系统 | 2020-05-16 | 577 |
一种跨站点伪造请求CSRF攻击识别方法和设备 | 2020-05-22 | 308 |
基于CSRF攻击的防护方法及装置 | 2020-05-13 | 292 |
一种基于云平台的统一安全防御系统 | 2020-05-18 | 99 |
一种针对React框架的防止跨站请求伪造CSRF攻击的方法及系统 | 2020-05-13 | 748 |
Mitigating forgery for active content | 2020-05-29 | 591 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。