8章よく狙われる保護対象リソースの脆弱性

この章ではどのようにリソース・サーバーを保護し、OAuthの保護対象リソースを対象とした攻撃からどのように守るかについて説明されています

保護対象リソースの脆弱性とは

最も明白なものはアクセストークンの漏洩

そのほかにもエンドポイントへのXSSなどがある

エンドポイントへのXSSを防ぐには

ユーザーの入力を直接レスポンスに含むなど、信頼できないレスポンスを返す場合は全てサニタイズする
- URLエンコードする
- 正しいContent-Typeを返すことでJavascriptの実行を防ぐ
ブラウザの提供する保護の仕組みを利用する
- X-Content-Type-Option: ブラウザが宣言したContent-Typeとは異なるレスポンスのMIMEを自動的に判別することを防ぐ
- X-XSS-Protection: ブラウザが自動的にXSS攻撃を除外する

アクセストークンが漏洩した場合、有効期限を短く設定しておけば被害を最小限にすることができる

また、OAuthでは様々な通信にTLSが使用されていることが前提とされている

HTTPの仕組みの一つであるHSTSを使用することで、HTTPSでの通信を使用することをサーバー側から指定することができる

保護対象リソースはOAuthにおける役割も割とシンプルなので、セキュリティ面でもやることは少ない (レスポンスでXSSに気をつける、通信はTLSを使用するなど)と思った

ただ保護対象リソースに脆弱性があるとOAuthで頑張ってセキュアにしてもなんの意味もなくなっちゃうから重要だよな、、