Rubare Facebook codice oAuth (non token) di non uso?

Naviga le tue risposte
1

Sto testando un'app Web che ha un'opzione per connettersi al tuo account Facebook. Il flusso di login di oauth inizia così:

link

Non sono in grado di cambiare il dominio del parametro redirect_uri, ma posso modificare la parte "resource" del redirect_uri, in modo da poterlo puntare a una pagina in cui posso inserire un tag img con l'attributo src che punta al mio sito, e da questo rubare il codice oauth tramite l'intestazione del referer.

Ma il codice Facebook oauth è di qualche utilità per me? Non vedo un modo per scambiarlo con un token di accesso. Il response_type = token è disabilitato.

    
posta pineappleman 31.03.2017 - 13:52
fonte

1 risposta

1

Un codice viene scambiato per un token, tramite una chiamata autenticata dall'applicazione ricevente. Ciò significa che l'applicazione ricevente ha un ID client e un segreto che utilizza per autenticarsi prima che possa ottenere un token per conto dell'utente.

In questo caso particolare, è solo questione di poter accedere all'ID client e al segreto. Non puoi fare nulla senza di loro, quindi il codice è effettivamente inutile.

C'è uno scenario (vulnerabilità IOW) in cui qualsiasi codice può essere usato con qualsiasi ID client / segreto, quindi potresti usare il codice se lo hai creato tu, ma questo non è particolarmente comune e non ho dubbi che Facebook sia già spiega questo.

    
risposta data 31.03.2017 - 14:56
fonte

Leggi altre domande sui tag

Secure Hidden Inputs in Paypal Propagazione dei certificati archiviati in un fornitore di keystore CNG