OAuth/OpenID Connect安全测试全指南

Web应用渗透测试：OAuth/OpenID Connect测试案例

OAuth和/或OpenID Connect在现代Web或移动应用程序中广泛使用。如果应用程序使用OAuth和/或OpenID Connect进行身份验证/授权，以下是在评估期间可以执行的测试案例：

侦察阶段

• 检查应用程序使用的OAuth实现类型，例如隐式授权或令牌授权（response_type=token）、授权码授权（response_type=code）等
• 检查以下标准端点，这将让我们了解支持的预期范围等信息：
  • /.well-known/oauth-authorization-server/
  • /.well-known/openid-configuration

开放重定向测试

• 检查redirect_uri（OAuth流程中的必需参数）是否存在开放重定向可能，或参考"测试重定向URI验证不足"
• 参考此链接中发现的常见绕过方法

以下是来自OWASP WSTG的示例：

# client.evil.com是攻击者控制的回调域名，目标是欺骗OAuth流程将授权码发送到攻击者域名
https://as.example.com/authorize?client_id=example-client&redirect_uri=http%3A%2F%2Fclient.evil.com%2F&state=example&response_mode=fragment&response_type=code&scope=openid&nonce=example

授权码测试

（适用于公共客户端或单页应用/移动应用程序）

• 在授权码授权中，多次重放代码（代码重放攻击）
• 注意此代码的过期时间，理想情况下应该短暂有效

其他涉及授权码的测试案例：

• 为另一个client_id发送有效代码
  • 如果应用程序所有者提供了另一个client_id，或者测试人员能够在AS或OAuth提供商中注册另一个client_id（例如通过动态客户端注册）
• 为另一个资源所有者发送有效代码
  • 如果您有另一个测试用户或应用程序允许自注册
  • 启动用户1的OAuth流程，在AS提供授权码的部分，在Burp/Zap中丢弃响应（因此代码不会被使用）
  • 使用用户2执行另一个OAuth流程，然后将用户2获得的代码与用户1的代码交换
• 为另一个redirect_uri发送有效代码

以下示例来自OWASP WSTG：

POST /oauth/token HTTP/1.1
Host: as.example.com
[...]
{
    "client_id":"example-client",
    "code":"INJECT_CODE_HERE",
    "grant_type":"authorization_code",
    "redirect_uri":"https://client.example.com"
}

• 如果响应返回访问令牌、刷新令牌等，将此报告为发现

其他关键测试

• 执行PKCE降级攻击测试
• 检查可能的SSRF
• 检查State参数是否存在，如果不存在，可能存在CSRF风险
• 如果State参数存在，检查是否经过验证或真正随机
• OAuth流程中的CSRF测试案例通常适用于"同意页面"

以下示例来自OWASP WSTG：

POST /u/consent?state=Tampered_State HTTP/1.1
Host: as.example.com
[...]
state=MODIFY_OR_OMIT_THIS&audience=https%3A%2F%2Fas.example.com%2Fuserinfo&scope%5B%5D=profile&scope%5B%5D=email&action=accept

• 测试同意页面中的点击劫持（CSP与frame-ancestors指令和/或X-Frame-Option在此处用于缓解）
• 测试JWT的令牌生命周期（访问令牌、刷新令牌）
• 检查是否可以升级Scope，例如如果初始Scope是scope=openid%20email，是否可以升级为scope=openid%20email%20profile
• 在OpenID Connect中，检查配置是否支持动态客户端注册
• 如果使用隐式流程，检查response_mode是否未设置为form_post
• 检查引用头中泄露的凭据
• 检查缺少的安全头（CSP（具有适当指令）、HSTS、Referrer策略、权限策略、X-Frame-Options、X-Content-Type-Options等）
• 检查涉及OAuth流程的端点是否容易受到CORS错误配置的影响
• 检查涉及OAuth流程的端点是否使用未加密的网络连接
• 对客户端执行客户端密钥暴露测试
• 执行不当令牌存储测试
• 执行访问令牌注入测试，适用于客户端使用直接向客户端颁发访问令牌的响应类型时

缓解/修复/建议

• 始终验证所有参数是否存在，并验证其值
• 使用PKCE扩展正确保护授权码和令牌交换
• 不允许安全功能（如PKCE扩展）的回退
• 限制凭据的生命周期
• 尽可能只使用凭据一次
• 配置可用的安全缓解措施
• 仅当客户端能够安全存储时才使用客户端密钥
• 遵循最佳实践安全存储令牌
• 避免使用已弃用的OAuth授权类型

参考资料

• portswigger.net/web-securit...
• portswigger.net/web-securit...
• www.cyberark.com/resources/t...
• OWASP测试指南系列

免责声明

本博客提供的信息仅供一般参考。虽然我始终力求准确，但某些细节可能不准确，提供的列表可能不完整。我强烈建议在做出任何决定或采取行动之前，根据行业标准文档和官方来源验证任何关键信息。此处表达的所有观点均为我个人观点，不代表我雇主的观点或立场。"此列表是一个正在进行的工作 🚧"