【发布时间】:2016-10-19 11:09:11
【问题描述】:
- 受害者在 Oauth2 授权代码流中通过授权服务器上的系统浏览器进行身份验证,并由授权服务器发出会话 cookie
- 受害者被诱骗点击攻击者网站上的链接,该链接通过受害者浏览器向 Oauth2 授权服务器发起 Oauth2 授权请求,并带有攻击者 Oauth2 客户端的客户端 ID 和重定向 URI
- 授权服务器不需要对受害者进行身份验证,因为授权服务器已经发布了会话 cookie,而只需要求受害者授予攻击者客户端访问权限——在这种情况下,假设受害者这样做
- 授权服务器会将受害者浏览器重定向到攻击者重定向 URI(假定指向 Web 应用程序),并带有受害者的授权码的授权响应
- 攻击者现在拥有受害者的授权码,他或她可以交换刷新和访问令牌
除了受害者不接受授予攻击者客户端访问权限之外,针对此问题的最佳预防措施是什么? 我的意思是,普通的互联网用户通常会在平常的日子里点击接受很多东西而不会考虑太多。
【问题讨论】:
-
你知道有Information Security Stack Exchange这个事实吗?
-
我认为应用程序安全作为一个介于安全和编码之间的多学科领域,可能更属于 StackOverflow。信息安全堆栈交换上讨论的信息安全是一个更广泛的领域,很多人不是开发人员。他们在不同的层面上处理问题,有时更多的是从理论的角度。所以简而言之我认为这确实是一个编程问题。