Bitte benutzen Sie diese Kennung, um auf die Ressource zu verweisen:
http://dx.doi.org/10.18419/opus-10080
| Autor(en): | Hosseyni, Pedram |
| Titel: | Security analysis of the OpenID financial-grade API |
| Erscheinungsdatum: | 2018 |
| Dokumentart: | Abschlussarbeit (Master) |
| Seiten: | 114 |
| URI: | http://nbn-resolving.de/urn:nbn:de:bsz:93-opus-ds-100979 http://elib.uni-stuttgart.de/handle/11682/10097 http://dx.doi.org/10.18419/opus-10080 |
| Zusammenfassung: | The OpenID Financial-grade API provides a mechanism for accessing data and resources that need a high degree of protection, such as in the context of financial applications.
As a profile of the OAuth 2.0 Authorization Framework designed for high-risk scenarios, the Financial-grade API aims at being secure even if the procedure is attacked at several points leading to wrongly configured endpoints, the leakage of tokens and even whole requests and responses. To achieve this degree of security, several additional mechanisms are used, which protect against the usage of leaked tokens and protect messages against modification.
We modeled both the Read-Only Profile and the Read-Write Profile of the Financial-grade API in the FKS Web Model, including all underlying assumptions that might affect the security of the flows. Through formal analysis, we discovered several attacks not only on mechanisms specific to the Financial-grade API but also on more general concepts of OAuth, namely, Token Binding and the Proof Key for Code Exchange extension.
We provide mitigations against these attack scenarios and show that the modified flows are secure as specified by our security definitions. More precisely, these modified flows prevent an attacker from logging in under the identity of an honest user and accessing protected resources belonging to the honest user. Die OpenID Financial-grade API bietet ein Verfahren für den Zugriff auf Daten und Ressourcen, die ein hohes Maß an Schutz benötigen, beispielsweise im Rahmen von Finanzanwendungen. Als ein Profil des OAuth 2.0 Authorization Frameworks wurde die Financial-grade API für risikobehaftete Szenarien entworfen und zielt darauf ab, sicher zu sein, trotz Angriffen auf verschiedenen Bereichen, die zu falsch eingestellten Endpunkten, zum Bekanntwerden von Tokens und sogar ganzen Anfragen und Antworten führen können. Um diesen Grad an Sicherheit zu erreichen, werden zusätzliche Verfahren verwendet, die vor der Verwendung von entwendeten Tokens sowie vor Veränderung von Nachrichten schützen. Wir haben sowohl das Read-Only, als auch das Read-Write Profil der Financial-grade API im FKS Webmodell modelliert, mit allen Annahmen, die die Sicherheit des Verfahrens beeinflussen könnten. Durch formale Analyse entdeckten wir mehrere Angriffe, die nicht nur die Financial-grade API betreffen, sondern allgemeinere Konzepte von OAuth, nämlich Token Binding und die Proof Key for Code Exchange Erweiterung. Wir erläutern Maßnahmen, mit denen diese Angriffe verhindert werden können und zeigen, dass die modifizierten Verfahren sicher sind im Sinne unserer Sicherheitsdefinitionen. Genauer gesagt wird verhindert, dass sich ein Angreifer unter der Identität eines ehrlichen Benutzers anmeldet und Ressourcen eines ehrlichen Benutzers verwendet. |
| Enthalten in den Sammlungen: | 05 Fakultät Informatik, Elektrotechnik und Informationstechnik |
Dateien zu dieser Ressource:
| Datei | Beschreibung | Größe | Format | |
|---|---|---|---|---|
| Security_Analysis_OpenID_Financial-grade_API.pdf | 623 kB | Adobe PDF | Öffnen/Anzeigen |
Alle Ressourcen in diesem Repositorium sind urheberrechtlich geschützt.