Domande con tag 'confused-deputy'

3
risposte

Qual è lo scopo del controllo redirect_uri di OAuth 2.0?

Il meccanismo del codice di autorizzazione della specifica OAuth 2.0 include il controllo URI di reindirizzamento dal sito a cui viene effettuato il reindirizzamento. Vedi i passaggi D ed E nella sezione 4.1 delle specifiche . Inoltre, la sezi...
posta 21.10.2013 - 20:13
2
risposte

In che modo l'impostazione di Origine su null in una richiesta CORS reindirizzato protegge da un attacco delegato confuso?

Estratto da Qui : If a cross-origin resource redirects to another resource at a new origin, the browser will set the value of the Origin header to null after redirecting. This prevents additional confused deputy attacks, but a cost of maki...
posta 19.10.2017 - 17:10
1
risposta

Sono esempi di iniezioni di comandi di deputati confusi?

In un'iniezione di comandi induci un servizio a fare qualcosa per te che normalmente non farebbe. Ciò significa che le iniezioni di comandi sono esempi di deputati confusi (sfruttatori)? Tiene anche la retromarcia? Più in generale, l'iniezion...
posta 21.10.2017 - 12:55
1
risposta

Perché i sistemi di sicurezza basati sulle capacità proteggono dal confuso problema del vice?

Secondo Wikipedia ( link ): In information security, the confused deputy problem is often cited as an example of why capability-based security is important, as capability systems protect against this, whereas access control list-based...
posta 15.11.2018 - 09:51
1
risposta

OAuth + Confused Deputy + access token verification + state parameter

L'articolo "Uso di OAuth 2.0 per l'applicazione sul lato client" di Google all'indirizzo link afferma che il cliente DEVE convalidare tutti accedere a token per verificare che fosse il destinatario previsto del token di accesso, al fine di evi...
posta 09.02.2015 - 22:35
1
risposta

Android, come faccio a prevenire gli attacchi dei delegati confusi?

Nel caso in cui un'app mobile dannosa non disponga delle autorizzazioni appropriate ad es. scarica un file, può richiamare un browser per scaricare sth. Esempi concreti di tale attacco sono mostrati da pagina 27 a pagina 29 in Android Security...
posta 15.10.2013 - 02:34
1
risposta

Il flusso del codice di autorizzazione OAuth 2 è vulnerabile al Problema in questione confuso?

Deputy Deputy Problem (noto anche come "The Devil Wears Prada") è una vulnerabilità di OAuth 2 che si verifica quando il protocollo viene utilizzato per l'autenticazione. In sostanza, un client dannoso ottiene un token per un utente e lo present...
posta 05.12.2017 - 17:32
2
risposte

È sicuro utilizzare OAuth (concessione delle credenziali della password del proprietario della risorsa) per l'autenticazione?

In particolare, devo preoccuparmi del problema del vice confuso se sto solo cercando di autorizzare un utente contro una singola API? Ad esempio: un servizio di messaggistica di base vorrà autenticarsi e quindi autorizzare un utente a inviare...
posta 07.09.2016 - 23:34