OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編

【電子版】OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 - Auth屋 - BOOTH

前回 読んだ Auth屋 - BOOTH の3冊目です。今回はタイトルのとおりOAuth・OIDCへの攻撃と対策を整理して理解できる内容になっています。2冊目と同じく100ページぐらいで図も多く、サクッと読めます。OAuth・OIDCへの攻撃と対策を理解したい人におすすめの本だと思います。

本書の構成としては目次のとおりです。まず1章で簡単にOAuth・OIDCの復習をします。次に2章から6章で攻撃パターンの詳細とその対策方法について説明します。最後の7章ではOAuth・OIDCのフローごとに 1)そのフローで可能な攻撃、2) 攻撃をなるべく少ないパラメータで対策する方法、3) 攻撃をなるべく早いタイミングで対策する方法、の3つの観点で整理しています。詳細な目次は 公式ページ を参照してください。

  • 第1章 OAuth・OIDC のおさらい
  • 第2章 CSRF
  • 第3章 リプレイ攻撃
  • 第4章 認可コード横取り攻撃
  • 第5章 トークンインジェクション
  • 第6章 コードインジェクション
  • 第7章 全体整理

非常にまとまっていてよかったです。OAuth・OIDCの違いを確認する際は1章を読み直せばいい感じでしたし、OAuth・OIDCで認証・認可を実装する際はまず7章で対応するパターンを調べればよい感じでした。攻撃の詳細は該当する章を読めば確認できますし、その他の事項も忘れたとしても本書を含めた3冊を手元においておけばすぐに確認できる印象でした。

Final: OpenID Connect Core 1.0 incorporating errata set 1 読み会に参加してOIDCについての理解を深めるために読んだ3冊でしたが、OAuth・OIDCの基本は押さえられたと思います。分かりやすい書籍を紹介してもらって感謝です。