Eine prototypische Protokollimplementierung des OAuth 2.0 Protokolls mit Demonstration von Angriffen

Abstract

OAuth 2.0 ist ein bekannter Standard zur Autorisierung, der einem in leicht veränderter Form in vielen Situationen des heutigen Lebens begegnet. Dies können Dienste sein, welche auf Daten des Nutzers zugreifen müssen, um diese zu verarbeiten und für andere Zwecke zu nutzen. Ein Beispiel wären Kalenderdienste, welche Zugriff auf Termine benötigen, damit diese ohne Aufwand des Nutzers übernommen werden können. Da durch ein Aushebeln des Prozesses möglicherweise sensible Daten an einen Angreifer gelangen könnten, ist die Sicherheit ein zentraler Aspekt von OAuth 2.0. Dennoch sind mehrere Angriffe bekannt geworden, die die Sicherheitsvorkehrungen umgehen können. Ziel der Arbeit war es diese Angriffe aufzugreifen und anschaulich darzustellen, damit diese besser verstanden werden können. Dazu wurde eine Testumgebung in Python erschaffen, in denen OAuth 2.0 und OpenID Connect Flows implementiert wurden mit entsprechenden Erweiterungen zur Erhöhung der Sicherheit. Mit dieser können unterschiedliche Angriffe auf OAuth 2.0 simuliert und der dabei entstehende Nachrichtenfluss protokolliert werden. Teilweise wurden auch die entsprechenden Fehlerbehebungen zu Angriffen ergänzt. In dieser Ausarbeitung sollen die Grundlagen von OAuth 2.0 behandelt und die Architektur vorgestellt, die bei den Angriffen verwendet werden. Auch sollen die Art der Implementierung aufgegriffen und diskutiert werden.