08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?

135 阅读1分钟

08 | 实践OAuth 2.0时,使用不当可能会导致哪些安全漏洞?

CSRF 攻击

恶意软件让浏览器向已完成用户身份认证的网站发起请求,并执行有害的操作,就是跨站请求伪造攻击。
image.png

XSS 攻击

XSS 攻击的主要手段是将恶意脚本注入到请求的输入中。
image.png

水平越权

水平越权是指,在请求受保护资源服务数据的时候,服务端应用程序未校验这条数据是否归属于当前授权的请求用户。

授权码失窃

image.png

  1. 授权服务在进行授权码校验的时候,没有校验 app_id_B;
  2. 软件 B(也就是极客时间)使用过一次 codeB 的值之后,授权服务没有删除这个 codeB;

重定向 URI 被篡改

image.png

总结

image.png

原文