Security Wine (бывший - DevSecOps Wine)

OAuth: Security

Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)

https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1

Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.

https://danielfett.de/2020/05/04/mix-up-revisited/

Все, что нужно знать об OAuth с точки зрения ИБ:

https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html

#bestpractice #dev #attack

www.tgoop.com/sec_devops/210

2.87K viewsDenis Yakimov, edited  May 28, 2020 at 14:49

OAuth: Security

Краткий обзор OAuth 2.0 и то, как его можно неправильно реализовать с точки зрения безопасности. Обзор следующих типовых ошибок: слабая redirect_uri конфигурация, неправильная обработка параметра состояния, назначение УЗ на основе e-mail и раскрытие секретов (client_secret)

https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1

Обзор атаки Mix-Up Attack на OAuth. Это атака, при которой злоумышленник может убедить клиента отправить учетные данные (код или токен) на сервер злоумышленника. Статья также поможет докрутить принудительные запросы для обеспечения защиты.

https://danielfett.de/2020/05/04/mix-up-revisited/

Все, что нужно знать об OAuth с точки зрения ИБ:

https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html

#bestpractice #dev #attack

BY Security Wine (бывший - DevSecOps Wine)