Временная скидка 60% на годовую подписку!

OAuth

Xakep #314
ПриватностьДля начинающих

Браузер в браузере. Разбираем простую, но эффективную технику кражи учетных данных

Атака типа browser-in-the-browser — пример того, как относительно простые уязвимости, такие как XSS, или даже банальные элементы вроде внешнего чата поддержки могут эволюционировать в серьезную угрозу. Особенно если такие элементы устанавливаются без должного контроля.

Xakep #306

После OAuth. Разбираем атаки на OpenID Connect

Протокол OpenID Connect — это наследник OAuth. Поскольку у OAuth есть множество проблем, в том числе с безопасностью, ему на смену приходит более совершенный вариант. Но и он при неправильном обращении может оставлять лазейку для злоумышленников. В этой статье мы разберем такие проблемы в OpenID Connect и покажем их на примере лабы PortSwigger.

Xakep #306

OAuth от и до. Ищем цепочки уязвимостей при атаках на авторизацию

Сегодня разберем мисконфиги OAuth, которые встречаются в дикой природе и хоть сами по себе безобидны, в определенных условиях могут иметь серьезные последствия — вплоть до похека админских аккаунтов. В этой сатье я покажу, как искать такие цепочки уязвимостей.

Xakep #306

OAuth от и до. Изучаем протокол и разбираем базовые атаки на OAuth

Никакой сайт в современном вебе не обходится без формы авторизации, а под ней ты часто видишь кнопки входа через соцсети. Работают они благодаря протоколу OAuth, с устройством и основными уязвимостями которого я познакомлю тебя в этой статье. Для закрепления знаний пройдем несколько лабораторных работ.

Xakep #259

Уязвимости в OAuth. Глава из книги «Ловушка для багов. Полевое руководство по веб-хакингу»

OAuth — это открытый протокол, который упрощает и стандартизирует безопасную авторизацию в вебе, на мобильных устройствах и в настольных приложениях. Он позволяет регистрироваться без указания имени пользователя и пароля и часто применяется для входа с помощью Facebook, Google, LinkedIn, Twitter и т. д. Уязвимости в OAuth, учитывая их распространенность, заслуживают обсуждения.

Реклама

Шенген в цифровом мире. Blitz Identity Provider — единый сервер аутентификации

Многие администраторы мечтают о едином сервере аутентификации, который бы избавил их от головной боли, связанной с идентификацией и аутентификацией пользователей. О таком сервере мы и поговорим в этой статье.

Xakep #210

Мобильная социализация. Полный гайд по использованию OAuth-авторизации для Android

Рано или поздно у разработчика мобильных приложений возникает желание каким-то образом выделить каждого пользователя — создать ему личный профиль, дать возможность перенести приложение на новый телефон без потери контента или просто разослать персонифицированную рекламу.

Гарда: Сохранить

Бумажный спецвыпуск

Cyber Camp 2025

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4500 р.
на год
450 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков