many possible attacks when an Auth

many possible attacks when an Auth Response is intercepted by an intruder, such as (1) a session swapping attack that forces the user’s browser to initialize a session authenticated as the attacker, (2) an impersonation attack that impersonate the user by sending the intercepted Auth Response via a browser agent controlled by the attacker. Note that SSL could prevent an MITM attacker from intercepting the Auth Response transmitted in the network, but it could not stop a session swapping attacker who intercepts the Auth Response from his own browser.The violation of the G5 goal indicates that the authenticity and integrity of the Auth Request is not protected by the OpenID protocol. That is, an IdP might accept an Auth Request sent from the intruder or the Auth Request might be altered during the transmission. This weakness could be exploited in many ways, such as (1) a SSO CSRF attack that forces the victim to log into her RP website by sending a forged Auth Request via the victim’s browser, (2) a parameter forgery attack that manipulates the victims profile attributes requested by the RP websites through a modification of the Auth Request within the protocol.Goal G6 cannot be satisfied either. Based on the attack trace, an intruder can initiate a Login Request with the RP, and then use role UB for the rest of the communications to violate this goal. This indicates that the authenticity of the Login Request is not guaranteed. This weakness can be exploited by using a traditional CSRF technique to initiate a Login Request using either the GET or POST method via the victim’s browser to insidiously sign the victim into the RP in order to launch subsequent CSRF attacks.6. Attack vector evaluationsIn addition to the three variants of SSO CSRF, session swap-ping, impersonation, and parameter forgery, a replay attack was included in our evaluation in order to assess how many RPs had performed the assertion nonce check correctly, as an RP must check the nonce values received from all IdPs. Overall, seven attack vectors were evaluated on 132 real-world RPs.6.1. Manual evaluationsWe describe below how each attack vector was manually evaluated on 20 RP websites. Each evaluation began by selecting an IdP or entering the OpenID identifier of a test account on the RP login form to initiate a sign-on process. The protocol messages (i.e., Login Request, Auth Request, and Auth Response) were intercepted by a Firefox extension we designed that allows the investigator to abort or manip-ulate the intercepted messages. For attacks that could be launched from a browser agent controlled by the attacker (i.e., replay and impersonation attacks), which allow the attacker to forge and manipulate the HTTP headers including cookies, we designed and implemented a custom-ized browser agent by reusing the GeckoFX web browser control (Skybound Software, 2010). Note that before each evaluation, all cookies in the browser are removed to reset the browser to its initial state, and a protocol message does not reach the RP if it is “intercepted”, but does if it is “captured”.A1: SSO CSRF via Login Request through GET method (exploits G6):1. Intercept a Login Request and abort the rest of authenti-cation process.2. Construct an attack URL from the intercepted Login Request and create an attack page that contains an invisible HTML iframe element with src attribute set to the attack URL. If the RP login form uses an HTTP POST method for submitting the login request, take the request parameters (key-value pairs) from the HTTP request body and append them to the end of the request URL as part of query strings to form an attack URL. If the Login Request uses an HTTP GET method, then the request URL is used as the attack URL directly. For example:


login?p1¼v1&p2¼v2’>

3. Open another browser and make sure the testing account has logged into the IdP but not logged into the RP yet. Browse the attack page and then go to the RP website to check whether the testing account has been forced to login successfully.


A2: SSO CSRF via Login Request through POST method

(exploits G6): The evaluation procedures for this attack are same as A1 except in Step 2, the iframe’s src attribute is set to another page which contains (1) a web form with the action attribute set to the request URL of the Login Request, and each HTTP query parameter (key-value pair) in the Login Request is added to the form as a hidden input field, and (2) a JavaScript that submits the web form automatically when the page is loaded. For example:




sso_csrf_post.htm:


.



A3: SSO CSRF via Auth Request (exploits G5): Similar to A1, except an Auth Request instead o

nhiều cuộc tấn công có thể khi một ứng Auth bị chặn bởi một kẻ xâm nhập, chẳng hạn như (1) một phiên trao đổi tấn công buộc trình duyệt của người dùng để khởi tạo một phiên chứng thực như kẻ tấn công, (2) một cuộc tấn công mạo danh mà mạo danh người dùng bằng cách gửi bị chặn Auth đáp ứng thông qua một đại lý của trình duyệt điều khiển bởi những kẻ tấn công. Lưu ý rằng SSL có thể ngăn chặn kẻ tấn công MITM từ chặn các ứng Auth truyền trong mạng, nhưng nó không thể dừng lại một phiên trao đổi kẻ tấn công chặn các ứng Auth từ trình duyệt của mình.

Các vi phạm mục tiêu G5 cho thấy tính xác thực và tính toàn vẹn của Yêu cầu xác thực không được bảo vệ bởi các giao thức OpenID. Đó là, một IdP có thể chấp nhận một yêu cầu xác thực gửi từ các kẻ xâm nhập hoặc Yêu cầu Auth có thể được thay đổi trong quá trình truyền tải. Điểm yếu này có thể được khai thác trong nhiều cách, chẳng hạn như (1) một cuộc tấn công SSO CSRF buộc các nạn nhân để đăng nhập vào trang web của RP cô bằng cách gửi một Auth Yêu cầu giả mạo thông qua trình duyệt của nạn nhân, (2) một cuộc tấn công giả mạo thông số đó thao túng các nạn nhân hồ sơ thuộc tính được yêu cầu bởi các trang web RP thông qua một sửa đổi của yêu cầu Auth trong giao thức.


G6 mục tiêu không thể được thỏa mãn một trong hai. Căn cứ vào các dấu vết tấn công, một kẻ xâm nhập có thể khởi tạo một yêu cầu Đăng nhập với RP, và sau đó sử dụng vai trò UB cho phần còn lại của thông tin liên lạc để vi phạm mục tiêu này. Điều này cho thấy tính xác thực của các Yêu cầu đăng nhập không được bảo đảm. Điểm yếu này có thể được khai thác bằng cách sử dụng một kỹ thuật CSRF truyền thống để bắt đầu một yêu cầu đăng nhập bằng cách sử dụng phương pháp GET hoặc POST thông qua trình duyệt của nạn nhân để ngấm ngầm ký nạn nhân vào trong RP để khởi động các cuộc tấn công CSRF tiếp theo.



6. Đánh giá vector tấn

Ngoài ba biến thể của SSO CSRF, phiên swap-ping, mạo danh, và tham số giả mạo, một cuộc tấn công replay đã được đưa vào đánh giá của chúng tôi để đánh giá bao nhiêu RP đã thực sự khẳng định kiểm tra nonce một cách chính xác, như là một RP phải kiểm tra các giá trị nonce nhận được từ tất cả người vô gia cư. Nhìn chung, bảy vectơ tấn công được đánh giá trên RP 132 thực tế.


6.1. Đánh giá tay

Chúng tôi mô tả dưới đây như thế nào mỗi vector tấn công đã tự đánh giá trên 20 website RP. Mỗi đánh giá bắt đầu bằng cách chọn một IdP hoặc vào nhận dạng OpenID của một tài khoản thử nghiệm về hình thức RP đăng nhập để bắt đầu một quá trình đăng trên. Các thông điệp giao thức (ví dụ, nhập Yêu cầu, Auth yêu cầu, và Auth Response) đã bị chặn bởi một phần mở rộng của Firefox, chúng tôi được thiết kế cho phép các nhà điều tra để hủy bỏ hoặc Manip-ulate các tin nhắn bị chặn. Đối với các cuộc tấn công có thể được phóng đi từ một đại lý của trình duyệt điều khiển bởi những kẻ tấn công (tức là, phát lại và mạo danh tấn công), cho phép kẻ tấn công giả mạo và vận dụng các tiêu đề HTTP bao gồm cả các tập tin cookie, chúng tôi thiết kế và thực hiện một tác nhân trình duyệt tùy chỉnh-trưng bởi việc tái sử dụng các GeckoFX điều khiển trình duyệt web (Skybound Software, 2010). Chú ý rằng trước mỗi đánh giá, tất cả các cookie trong trình duyệt bị loại bỏ để thiết lập lại trình duyệt để trạng thái ban đầu của nó, và một tin nhắn giao thức nào


không đạt RP nếu nó được "chặn", nhưng nếu nó được "bắt".

A1: SSO CSRF qua Đăng nhập Yêu cầu thông qua phương thức GET (khai thác G6):

1. Chặn một yêu cầu Đăng ký và hủy bỏ phần còn lại của quá trình authenti-cation.

2. Xây dựng một URL cuộc tấn công từ nhập Yêu cầu chặn và tạo ra một trang tấn công có chứa một yếu tố vô hình iframe HTML với thuộc tính src thiết lập để các URL tấn công. Nếu hình thức RP đăng nhập sử dụng một phương pháp HTTP POST để gửi yêu cầu đăng nhập, lấy các thông số yêu cầu (cặp khóa-giá trị) từ cơ thể yêu cầu HTTP và gắn chúng vào phần cuối của URL yêu cầu như là một phần của chuỗi truy vấn để tạo thành một cuộc tấn công URL. Nếu đăng nhập Yêu cầu sử dụng một phương thức HTTP GET, thì URL yêu cầu được sử dụng như là URL tấn công trực tiếp. Ví dụ:



login?p1¼v1&p2¼v2’>

3. Open another browser and make sure the testing account has logged into the IdP but not logged into the RP yet. Browse the attack page and then go to the RP website to check whether the testing account has been forced to login successfully.


A2: SSO CSRF via Login Request through POST method

(exploits G6): The evaluation procedures for this attack are same as A1 except in Step 2, the iframe’s src attribute is set to another page which contains (1) a web form with the action attribute set to the request URL of the Login Request, and each HTTP query parameter (key-value pair) in the Login Request is added to the form as a hidden input field, and (2) a JavaScript that submits the web form automatically when the page is loaded. For example:




sso_csrf_post.htm:


.



A3: SSO CSRF via Auth Request (exploits G5): Similar to A1, except an Auth Request instead o