È pericoloso condividere pubblicamente un token senza scope?

Naviga le tue risposte
4

Se un servizio ti consente di creare token OAuth senza alcun ambito (consentendo 5k richieste API / ora per risorse pubbliche), è pericoloso condividere questi token pubblicamente?

L'ovvio problema che vedo è che chiunque sarà in grado di utilizzare questo token raggiungendo il limite di richiesta dell'utente che ha condiviso il token.

Ci sono altri problemi quando si condivide pubblicamente un tale token?

Che cosa succede se il servizio consente di aggiornare gli ambiti OAuth dello stesso token senza rigenerare il token?

    
posta Ionică Bizău 15.01.2016 - 06:24
fonte

1 risposta

2

Alcuni problemi che posso pensare sono:

  • Esaudendo il limite della richiesta, impedendo a qualsiasi utente di dipendere dal token che lo utilizza
  • Violare i termini del contratto di servizio condividendo un token che dovrebbe rimanere segreto / in possesso di un singolo utente
  • Se l'API è soggetta a tale vulnerabilità, sfruttamento della "fissazione della sessione", in cui un altro utente autentica o chiama un metodo di escalation dei privilegi che aggiorna i privilegi disponibili al token senza modificarlo (abilitando quindi l'accesso all'account dell'utente per tutti i possessori del token)
  • Alcuni metodi API potrebbero variare la loro risposta in base alle chiamate ad altri metodi (o allo stesso metodo). Se sai che le applicazioni dipendono da determinati formati per una risposta (ad es. XML o JSON) puoi sfruttare questo per costringere l'endpoint fidato (l'API esposta) ad attaccare qualsiasi applicazione lo stia utilizzando, perché condividerai una sessione.
risposta data 18.01.2016 - 11:13
fonte

Leggi altre domande sui tag

codifica di NULL facoltativo in DER Riduzione del rischio di esposizione al malware da dispositivi di archiviazione USB