移動(dòng)應(yīng)用濫用授權(quán)憑證問題分析

移動(dòng)應(yīng)用濫用授權(quán)憑證問題分析劉濤1墨貝科技2015-10-14大綱問題：移動(dòng)應(yīng)用授權(quán)憑證的濫用案例分析總結(jié)一些例子一些例子一些例子開放平臺(tái)（OpenPlatform）Oauth2.0一種簡(jiǎn)單的，標(biāo)準(zhǔn)的方式去訪問需要用戶授權(quán)的API服務(wù)。簡(jiǎn)單開放安全Oauth2.0Oauth2.0的四種連接方式授權(quán)碼模式（authorizationcodegrant）簡(jiǎn)化模式（implictgrant）密碼模式（resourceownerpasswordredentialsgrant）客戶端模式（clientcredentialsgrant）授權(quán)憑證：Client_ID&Client_SECRET在申請(qǐng)服務(wù)時(shí)，由認(rèn)證服務(wù)器生成給開發(fā)者作為認(rèn)證開發(fā)者和所對(duì)應(yīng)應(yīng)用的主要手段授權(quán)憑證濫用的危害查看并修改應(yīng)用的dashboard或其他配置信息以應(yīng)用的身份與用戶進(jìn)行交互構(gòu)造虛假頁面或請(qǐng)求誘使用戶登錄，從而獲得用戶在第三方應(yīng)用上的登錄憑證也許更多市場(chǎng)分析騰訊微信新浪微博Facebook分析方法在APK中尋找獲取access_token的API鏈接建立該點(diǎn)程序切片在切片中過濾可能的授權(quán)憑證提取APK中出現(xiàn)的所有字符串常量按照變量的命名規(guī)則和某些平臺(tái)的client_id和client_secret的特性，進(jìn)行過濾授權(quán)憑證的濫用案例1－Facebook/oauth/access_token?client_id={app-id}&client_secret={app-secret}&grant_type=client_credentials案例1－Facebook/tools/explorer/POST/{application_id}可以修改應(yīng)用名稱官網(wǎng)鏈接案例1－Facebook案例1－Facebook案例1－Facebook案例1－Facebook案例1－Facebook案例2－微信公共平臺(tái)/cgi-bin/token?grant_type=client_credential&appid={app-id}&secret={app-secret}案例2－微信公共平臺(tái)/debug/獲取用戶列表信息給用戶發(fā)送消息對(duì)公共號(hào)的菜單欄

進(jìn)行修改……案例2－微信公共平臺(tái)案例2－微信公共平臺(tái)案例2－微信公共平臺(tái)案例2－微信公共平臺(tái)案例2－微信公共平臺(tái)案例3－新浪微博案例3－新浪微博Access_token的錯(cuò)誤使用將應(yīng)用的access_token直接硬編碼在代碼中以新浪微博為例，在43個(gè)APK應(yīng)用中查到有access_token硬編碼在代碼中案例3－新浪微博案例3－新浪微博案例3－新浪微博案例3－新浪微博案例4－Email泄漏案例4－Email泄漏案例4－Email泄漏

案例5－FTP泄漏

案例5－FTP泄漏案例5－FTP泄漏

案例5－FTP泄漏

局限性SecretKey和AccessToken的查找范圍在Java代碼中，可以擴(kuò)大到配置文件以及底層so文件中僅測(cè)試了少數(shù)幾個(gè)開放平臺(tái)，分析中發(fā)現(xiàn)還有其它的授權(quán)憑證沒有分析并沒有對(duì)所有的開放API進(jìn)行測(cè)試，未發(fā)現(xiàn)問題的secret_key和accessto