token - 暗月博客|网络安全,WEB渗透,数据安全,渗透编程,安全培训

啪啪OAuth 2.0无绑定token窜号问

mOon    渗透测试     3183次查看    抢沙发    2013年03月02日

啪啪的移动端安全其实是不错的,只是碰巧在OAuth 2.0协议的实现上躺枪了。囧,OAuth 2.0还有多少个坑大家还得中啊?Eran Hammer,你画圈圈诅咒千万别应验…… 此案例在公开后,各开放平台、以及依赖各OAuth平台登录的客户端开发者(典型如手机应用)可以注意一下。理论上,遇到此问题的概率不甚大,至少我半个多月断断续续地大海捞针,才找到一两家存在此问题。 该漏洞...