OAuth: Security
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack
Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.
https://danielfett.de/2020/05/04/mix-up-revisited/
Все, что нужно знать об OAuth с точки зрения ИБ:
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
#bestpractice #dev #attack