Fig. 6 e Main components of OpenIDV

Fig. 6 e Main components of OpenIDVAT.

extensions. The extension parameters contains profile information of the user such as email and date of birth.

2. Re-initiate a login process again. This time, strip out all related extension parameters in the Auth Request, and append forged extension parameters to the Auth Response before sending it to the RP website.

A5: Session swapping (exploits G2): The steps for evalu-ating this attack are the same as A1, except that this attack intercepts an Auth Response passed from the IdP as the attack URL in Step 1 (i.e., the Auth Response does not reach to the RP), and the testing account has not logged into the RP in Step 3.

A6: Impersonation (exploits G2): Intercept an Auth Response and then send the intercepted Auth Response (including HTTP headers) to the RP via the customized browser agent we designed.

A7: Replay: Similar to A6, except that an Auth Response is captured instead of being intercepted in this attack (i.e., the Auth Response reaches the RP).

6.2. The OpenID vulnerability assessment tool

To facilitate the vulnerability evaluation process and to enable website developers to assess their RPs, we designed an OpenID vulnerability assessment tool named “OpenIDVAT” in C# .NET. The tool reuses the GeckoFX web browser control (Skybound Software, 2010) for sending HTTP requests and rendering the received HTML content. The original GeckoFX exposes a read-only document-object-model (DOM) and does not provide the capability to capture and intercept HTTP requests. We modified GeckoFX to provide a writable DOM, and make it capable of observing and blocking HTTP requests.

Fig. 6 illustrates the main components of OpenIDVAT. The primary user interface is the GeckoFX web browser control augmented with a writable DOM and an HTTP interceptor. The “Auto Form Filler” component fills and submits the IdP login form automatically using the test account. It also fills in the OpenID identifier field on the RP login form to reduce the amount of user input. Each vulnerability is assessed by one assessment class, which is a software module that imple-ments a pre-defined interface. The tool can be extended with new assessment classes, which could be implemented by inheriting from an existing module that contains most of the functions related to the assessment tasks.

To assess whether an RP is vulnerable, the evaluator first signs into the RP via OpenIDVAT using a pre-configured testing OpenID account. OpenIDVAT records the mouse clicks that initiate the login process and then captures the protocol messages. Once logged in, the evaluator is instructed to start an assessment process. For each vulnerability under assessment, OpenIDVAT (1) resets the browser state by removing all cookies from the GeckoFX web browser control,

(2) retrieves the captured protocol messages from logs, or replays the mouse clicks to initiate a new login request and then capture or intercept the required messages, (3) simulates switching to the victim’s browser by clearing all cookies, (4) constructs and sends attack messages via GeckoFX, and (5) prompts the user to check if the account under test has signed into the RP successfully.

6.3. Evaluation of real-world RPs

To find a representative sample of RP websites, we went through the OpenID site directory on myopenid.com (deno-ted as “D1”, 249 entries) and the Google Top 1000 websites (‘D2’, 1000 entries). We excluded these websites listed that are not written in English (D1 20, D2 527), not a relying party (D1 88, D2 442), or not accessible (D1 32, D2 2). Six RP web-sites appeared on both lists, and they were removed from D1 to avoid double-counting. Together, OpenIDVAT was employed to evaluate a total of 132 RPs websites. The GeckoFX web browser control does not support popup windows, thus for RPs that use a popup window during the OpenID authentication, the protocol messages were exam-ined manually.

We found 15% of RP websites use a proxy service (e.g., Janrain engine,13 Gigya14) for OpenID authentication. The proxy service performs the OpenID communication on behalf of the website, requests and stores the users’ profile attri-butes, and then returns an access token for the website to retrieve the user’s profile data via a direct communication with the proxy service (i.e., not through the browser). Further investigation revealed that although the communication between the proxy service and the IdP is secure, the access token returned to the RP may not be protected. If the token is not SSL-protected, the RP is subject to impersonation and

13 http://www.janrain.com/products/rpx.

14 http://www.gigya.com/.

Fig. 6 e Main components of OpenIDVAT.

extensions. The extension parameters contains profile information of the user such as email and date of birth.

2. Re-initiate a login process again. This time, strip out all related extension parameters in the Auth Request, and append forged extension parameters to the Auth Response before sending it to the RP website.

A5: Session swapping (exploits G2): The steps for evalu-ating this attack are the same as A1, except that this attack intercepts an Auth Response passed from the IdP as the attack URL in Step 1 (i.e., the Auth Response does not reach to the RP), and the testing account has not logged into the RP in Step 3.

A6: Impersonation (exploits G2): Intercept an Auth Response and then send the intercepted Auth Response (including HTTP headers) to the RP via the customized browser agent we designed.

A7: Replay: Similar to A6, except that an Auth Response is captured instead of being intercepted in this attack (i.e., the Auth Response reaches the RP).

6.2. The OpenID vulnerability assessment tool

To facilitate the vulnerability evaluation process and to enable website developers to assess their RPs, we designed an OpenID vulnerability assessment tool named “OpenIDVAT” in C# .NET. The tool reuses the GeckoFX web browser control (Skybound Software, 2010) for sending HTTP requests and rendering the received HTML content. The original GeckoFX exposes a read-only document-object-model (DOM) and does not provide the capability to capture and intercept HTTP requests. We modified GeckoFX to provide a writable DOM, and make it capable of observing and blocking HTTP requests.

Fig. 6 illustrates the main components of OpenIDVAT. The primary user interface is the GeckoFX web browser control augmented with a writable DOM and an HTTP interceptor. The “Auto Form Filler” component fills and submits the IdP login form automatically using the test account. It also fills in the OpenID identifier field on the RP login form to reduce the amount of user input. Each vulnerability is assessed by one assessment class, which is a software module that imple-ments a pre-defined interface. The tool can be extended with new assessment classes, which could be implemented by inheriting from an existing module that contains most of the functions related to the assessment tasks.

To assess whether an RP is vulnerable, the evaluator first signs into the RP via OpenIDVAT using a pre-configured testing OpenID account. OpenIDVAT records the mouse clicks that initiate the login process and then captures the protocol messages. Once logged in, the evaluator is instructed to start an assessment process. For each vulnerability under assessment, OpenIDVAT (1) resets the browser state by removing all cookies from the GeckoFX web browser control,

(2) retrieves the captured protocol messages from logs, or replays the mouse clicks to initiate a new login request and then capture or intercept the required messages, (3) simulates switching to the victim’s browser by clearing all cookies, (4) constructs and sends attack messages via GeckoFX, and (5) prompts the user to check if the account under test has signed into the RP successfully.

6.3. Evaluation of real-world RPs

To find a representative sample of RP websites, we went through the OpenID site directory on myopenid.com (deno-ted as “D1”, 249 entries) and the Google Top 1000 websites (‘D2’, 1000 entries). We excluded these websites listed that are not written in English (D1 20, D2 527), not a relying party (D1 88, D2 442), or not accessible (D1 32, D2 2). Six RP web-sites appeared on both lists, and they were removed from D1 to avoid double-counting. Together, OpenIDVAT was employed to evaluate a total of 132 RPs websites. The GeckoFX web browser control does not support popup windows, thus for RPs that use a popup window during the OpenID authentication, the protocol messages were exam-ined manually.

We found 15% of RP websites use a proxy service (e.g., Janrain engine,13 Gigya14) for OpenID authentication. The proxy service performs the OpenID communication on behalf of the website, requests and stores the users’ profile attri-butes, and then returns an access token for the website to retrieve the user’s profile data via a direct communication with the proxy service (i.e., not through the browser). Further investigation revealed that although the communication between the proxy service and the IdP is secure, the access token returned to the RP may not be protected. If the token is not SSL-protected, the RP is subject to impersonation and

13 http://www.janrain.com/products/rpx.

14 http://www.gigya.com/.

0/5000

Từ: -

Sang: -

Kết quả (Việt) 1: [Sao chép]

Sao chép!

Hình 6 e các thành phần chính của OpenIDVAT. Tiện ích mở rộng. Các thông số phần mở rộng có chứa thông tin hồ sơ của người dùng như email và ngày sinh.2. tái khởi xướng một quá trình đăng nhập một lần nữa. Thời gian này, loại bỏ tất cả các thông số liên quan đến mở rộng trong yêu cầu của Auth, và thêm tiện ích mở rộng sản phẩm rèn các thông số để phản ứng Auth trước khi gửi nó đến các trang web RP.A5: Buổi trao đổi (khai thác G2): các bước cho cuộc tấn công này là tương tự như A1, ngoại trừ rằng cuộc tấn công này chặn một phản ứng Auth truyền từ IdP như URL tấn công ở bước 1 evalu-ating (tức là, các phản ứng Auth không đạt đến RP), và các tài khoản thử nghiệm đã đăng nhập không thành RP trong bước 3.A6: Mạo danh (khai thác G2): ngăn chặn một phản ứng Auth và sau đó gửi các phản ứng Auth chặn (bao gồm cả tiêu đề HTTP) cho RP thông qua các đại lý tùy chỉnh trình duyệt, chúng tôi thiết kế.A7: Replay: tương tự như A6, ngoại trừ rằng một phản ứng Auth chiếm được thay vì chặn trong cuộc tấn công này (tức là, các phản ứng Auth đạt RP).6.2. OpenID vulnerability assessment công cụĐể tạo thuận lợi cho quá trình đánh giá tổn thương và để cho phép nhà phát triển web để đánh giá RPs, chúng tôi thiết kế một OpenID vulnerability assessment công cụ đặt tên là "OpenIDVAT" trong C# .NET. Công cụ reuses GeckoFX web browser kiểm soát (phần mềm Skybound, 2010) để gửi yêu cầu HTTP và rendering HTML đã nhận được nội dung. GeckoFX ban đầu cho thấy nhiều một chỉ đọc-đối tượng-mô hình tài liệu (DOM) và không cung cấp khả năng để nắm bắt và đánh chặn các yêu cầu HTTP. Chúng tôi sửa đổi GeckoFX để cung cấp một DOM có thể ghi được, và làm cho nó có khả năng quan sát và chặn yêu cầu HTTP.6 hình minh hoạ các thành phần chính của OpenIDVAT. Giao diện người dùng chính là điều khiển trình duyệt web GeckoFX tăng cường với một DOM có thể ghi, một máy bay đánh chặn HTTP. Điền vào và nộp IdP đăng nhập tự động bằng cách sử dụng tài khoản kiểm tra thành phần "Tự động dạng phụ". Nó cũng đầy trong lĩnh vực nhận dạng OpenID trên RP đăng nhập để giảm số lượng người dùng nhập vào. Mỗi lỗ hổng được đánh giá bởi một đánh giá lớp, mà là một mô-đun phần mềm đó imple ments một giao diện được xác định trước. Các công cụ có thể được mở rộng với các lớp học đánh giá mới, trong đó có thể được thực hiện bởi kế thừa từ một module hiện có chứa hầu hết các chức năng liên quan đến nhiệm vụ đánh giá. Để đánh giá liệu một RP là dễ bị tổn thương, evaluator lần đầu tiên ký vào RP via OpenIDVAT bằng cách sử dụng một tài khoản OpenID kiểm tra cấu hình sẵn. OpenIDVAT ghi lại các nhấp chuột bắt đầu quá trình đăng nhập và sau đó chụp các giao thức thông điệp. Sau khi đăng nhập, evaluator được hướng dẫn để bắt đầu một quá trình đánh giá. Cho mỗi lỗ hổng theo đánh giá, OpenIDVAT (1) thiết lập lại trạng thái của trình duyệt bằng cách loại bỏ tất cả các cookie từ điều khiển trình duyệt web của GeckoFX,(2) lấy tin nhắn giao thức được chụp từ các bản ghi, hoặc Replay cú click chuột để bắt đầu một đăng nhập mới yêu cầu và sau đó chụp hoặc ngăn chặn các tin nhắn yêu cầu, (3) mô phỏng chuyển sang trình duyệt các nạn nhân của thanh toán bù trừ tất cả các cookie, (4) xây dựng và tấn công sẽ gửi tin nhắn thông qua GeckoFX và (5) nhắc nhở người dùng để kiểm tra nếu tài khoản trong thử nghiệm đã đăng nhập vào RP thành công.6.3. đánh giá về thế giới thực RPsĐể tìm một mẫu đại diện của các trang web RP, chúng tôi đã thông qua các thư mục trang web OpenID myopenid.com (deno-ted như "D1", mục 249) và các trang web Google Top 1000 ('D2', 1000 mục). Chúng tôi loại trừ các trang web được liệt kê mà không được viết bằng tiếng Anh (D1 20, D2 527), không phải một đảng dựa (D1 88, D2 442), hoặc không thể truy cập (D1 32, D2 2). Sáu RP-các trang web xuất hiện trên cả hai danh sách, và họ đã được gỡ bỏ từ D1 để tránh đôi-đếm. Cùng với nhau, OpenIDVAT được sử dụng để đánh giá tổng cộng có 132 RPs trang web. Điều khiển trình duyệt web GeckoFX không hỗ trợ cửa sổ popup, do đó cho RPs mà sử dụng một cửa sổ popup trong khi xác thực OpenID, giao thức thư kỳ thi-ined theo cách thủ công.Chúng tôi tìm thấy 15% của RP các trang web sử dụng một dịch vụ proxy (ví dụ, các động cơ Janrain, 13 Gigya14) xác thực của OpenID. Dịch vụ ủy quyền thực hiện các giao tiếp OpenID thay mặt cho các trang web, yêu cầu mua sắm của người dùng hồ sơ attri-butes và sau đó trả về một mã thông báo truy cập cho trang web để lấy dữ liệu hồ sơ người dùng thông qua một giao tiếp trực tiếp với các dịch vụ proxy (tức là, không phải thông qua trình duyệt). Điều tra thêm tiết lộ rằng mặc dù giao tiếp giữa các dịch vụ proxy và IdP là an toàn, access token quay về RP có thể không được bảo vệ. Nếu kỷ niệm là không bảo vệ SSL, RP có thể mạo danh và13 http://www.janrain.com/products/rpx.14 http://www.gigya.com/.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 2:[Sao chép]

Sao chép!

Sung. 6 e thành phần chính của OpenIDVAT.

Phần mở rộng. Các thông số phần mở rộng có chứa thông tin hồ sơ của người sử dụng như email và ngày sinh.

2. Tái khởi động quá trình đăng nhập một lần nữa. Lần này, loại bỏ tất cả các thông số phần mở rộng có liên quan trong Yêu cầu Auth, và thêm các thông số phần mở rộng giả mạo để ứng phó Auth trước khi gửi nó vào trang web của RP.

A5: Kỳ họp trao đổi (khai thác G2): Các bước evalu-ating cuộc tấn công này là tương tự như A1, ngoại trừ việc tấn công này chặn một ứng Auth truyền từ IdP như URL tấn công ở bước 1 (tức là, các ứng Auth không đến được RP), và các tài khoản thử nghiệm đã không đăng nhập vào RP trong Bước 3 .

A6: Mạo danh (khai thác G2): đánh chặn một ứng Auth và sau đó gửi Auth ứng chặn (bao gồm tiêu đề HTTP) đến RP thông qua các đại lý của trình duyệt tùy chỉnh chúng tôi thiết kế.

A7: Replay: Tương tự như A6, ngoại trừ một ứng Auth là bắt thay vì bị chặn trong cuộc tấn công này (tức là, các ứng Auth đạt RP).

6.2. OpenID công cụ đánh giá tổn thương

Để tạo thuận lợi cho quá trình đánh giá tính dễ tổn thương và để cho phép các nhà phát triển trang web để đánh giá RP của họ, chúng tôi thiết kế một công cụ đánh giá tổn thương OpenID tên "OpenIDVAT" trong C # .NET. Công cụ này reuses GeckoFX điều khiển trình duyệt web (Skybound Software, 2010) để gửi yêu cầu HTTP và làm cho việc nhận được nội dung HTML. Các GeckoFX ban đầu cho thấy một tài liệu đối tượng-mô hình chỉ đọc (DOM) và không cung cấp khả năng nắm bắt và yêu cầu đánh chặn HTTP. Chúng tôi sửa đổi GeckoFX để cung cấp một DOM ghi, và làm cho nó có khả năng quan sát và ngăn chặn các yêu cầu HTTP.

Hình. 6 minh họa các thành phần chính của OpenIDVAT. Giao diện người dùng chính là GeckoFX điều khiển trình duyệt web tăng cường với một DOM có thể ghi và đánh chặn HTTP. "Auto Form Filler" thành phần lấp đầy và nộp mẫu đăng nhập IdP tự động bằng cách sử dụng tài khoản thử nghiệm. Nó cũng sẽ điền vào các lĩnh vực nhận dạng OpenID về hình thức RP đăng nhập để giảm bớt số lượng người dùng nhập vào. Mỗi lỗ hổng được đánh giá bởi một lớp đánh giá, mà là một mô-đun phần mềm imple-ments một giao diện được xác định trước. Công cụ này có thể được mở rộng với các lớp học đánh giá mới, mà có thể được thực hiện bằng cách kế thừa từ một mô-đun hiện có chứa hầu hết các chức năng liên quan đến nhiệm vụ đánh giá.

Để đánh giá xem một RP là dễ bị tổn thương, người đánh giá dấu hiệu đầu tiên vào RP qua OpenIDVAT sử dụng một cấu hình trước thử nghiệm tài khoản OpenID. OpenIDVAT ghi lại các cú click chuột mà bắt đầu quá trình đăng nhập và sau đó chụp các thông điệp giao thức. Sau khi đăng nhập, người đánh giá sẽ được hướng dẫn để bắt đầu một quá trình đánh giá. Đối với mỗi lỗ hổng được đánh giá, OpenIDVAT (1) reset trạng thái của trình duyệt bằng cách loại bỏ tất cả các cookie từ GeckoFX điều khiển trình duyệt web,

(2) lấy các thông điệp giao thức thu được từ các bản ghi, hoặc replay chuột nhấp chuột để bắt đầu một yêu cầu đăng nhập mới và sau đó nắm bắt hoặc đánh chặn các thông điệp yêu cầu, (3) mô phỏng chuyển sang trình duyệt của nạn nhân bằng cách xóa tất cả các cookie, (4) cấu trúc và gửi thông điệp tấn công qua GeckoFX, và (5) nhắc nhở người sử dụng để kiểm tra xem tài khoản được kiểm tra đã ký vào RP thành công.

6.3. Đánh giá RP thực tế

để tìm một mẫu đại diện của các trang web RP, chúng tôi đã đi qua các thư mục trang web OpenID trên myopenid.com (deno-ted là "D1", 249 mục) và website của Google Top 1000 ( 'D2', 1000 mục). Chúng tôi loại trừ những trang web được liệt kê mà không viết bằng tiếng Anh (D1 20, D2 527), không phải là một bên dựa (D1 88, D2 442), hoặc không thể truy cập (D1 32, D2 2). Sáu RP các trang web xuất hiện trên cả hai danh sách, và họ đã được gỡ bỏ từ D1 để tránh trùng lặp. Cùng nhau, OpenIDVAT đã được sử dụng để đánh giá tổng cộng 132 trang web RP. Các GeckoFX điều khiển trình duyệt web không hỗ trợ cửa sổ popup, do đó cho RP rằng sử dụng một cửa sổ popup trong khi xác thực OpenID, các thông điệp giao thức là thi-ined tay.

Chúng tôi tìm thấy 15% các trang web RP sử dụng một dịch vụ proxy (ví dụ, Janrain động cơ, 13 Gigya14) để xác thực OpenID. Các dịch vụ proxy thực hiện các giao OpenID thay mặt cho các trang web, yêu cầu và các cửa hàng của người sử dụng hồ sơ attri-butes, và sau đó trả về một thẻ truy cập cho trang web để lấy dữ liệu hồ sơ của người sử dụng thông qua một giao tiếp trực tiếp với các dịch vụ proxy (tức là, không thông qua trình duyệt). Tiếp tục điều tra tiết lộ rằng mặc dù các thông tin liên lạc giữa các dịch vụ proxy và IdP là an toàn, các thẻ truy cập trở lại RP có thể không được bảo vệ. Nếu mã thông báo không phải là bảo vệ bằng SSL, RP là đối tượng mạo danh và

13 http://www.janrain.com/products/rpx.

14 http://www.gigya.com/.

đang được dịch, vui lòng đợi..

Kết quả (Việt) 3:[Sao chép]

Sao chép!

đang được dịch, vui lòng đợi..

Các ngôn ngữ khác

Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.