我在网上搜索了很多,但是没有用。我想知道如果攻击者获得了Google Oauth2应用的client_id和client_secret,他会做什么。比如他能看到什么信息?他能编辑应用配置吗?他能看到其他人的信息吗?我以前没有使用过Oauth2.0,所以请简单地回答谢谢你!
mbzjlibv1#
我想知道,如果攻击者获得了Google的Oauth2应用程序的client_id和client_secret,他会做什么。OAuth 2客户端密钥必须受到保护。但是,如果它被泄露,攻击者还需要一个项目。有效的redirect_uri。如果攻击者同时拥有这两个项目和(公共)客户端ID,他们可能能够为您的帐户生成OAuth令牌。redirect_uri通常对http://localhost有效,因为开发人员在开发完成后忘记删除此URI。这意味着有人可以运行本地服务器并生成OAuth令牌。这是一个很大的安全漏洞。他们可以用OAuth令牌做什么?取决于...比如他能看到什么信息?他能编辑应用程序配置吗?他能看到其他人的信息吗?您没有指定谁的OAuth系统,它授权什么,等等。因此,答案是“这取决于”。对于谷歌云,黑客需要谷歌云授权人员的凭据。一些系统的安全性非常差,所以就像他们说的,任何事情都可能发生,而且往往是在安全性设计糟糕的情况下发生的。在一个设计合理的系统中,黑客需要通过几个层次。拥有客户端密码帮助很大,但并不是完全的安全失败。黑客只能通过系统进行身份验证。下一个层次是授权,需要被突破。在一个设计合理的系统中,黑客需要通过具有授权权限的用户进行身份验证。如果黑客拥有了授权权限,那你就有大麻烦了。2他可能有做任何他想做的事的钥匙。3再说一次,这要看情况而定。
1条答案
按热度按时间mbzjlibv1#
我想知道,如果攻击者获得了Google的Oauth2应用程序的client_id和client_secret,他会做什么。
OAuth 2客户端密钥必须受到保护。但是,如果它被泄露,攻击者还需要一个项目。有效的redirect_uri。如果攻击者同时拥有这两个项目和(公共)客户端ID,他们可能能够为您的帐户生成OAuth令牌。
redirect_uri通常对http://localhost有效,因为开发人员在开发完成后忘记删除此URI。这意味着有人可以运行本地服务器并生成OAuth令牌。这是一个很大的安全漏洞。
他们可以用OAuth令牌做什么?取决于...
比如他能看到什么信息?他能编辑应用程序配置吗?他能看到其他人的信息吗?
您没有指定谁的OAuth系统,它授权什么,等等。因此,答案是“这取决于”。
对于谷歌云,黑客需要谷歌云授权人员的凭据。一些系统的安全性非常差,所以就像他们说的,任何事情都可能发生,而且往往是在安全性设计糟糕的情况下发生的。
在一个设计合理的系统中,黑客需要通过几个层次。拥有客户端密码帮助很大,但并不是完全的安全失败。黑客只能通过系统进行身份验证。下一个层次是授权,需要被突破。在一个设计合理的系统中,黑客需要通过具有授权权限的用户进行身份验证。如果黑客拥有了授权权限,那你就有大麻烦了。2他可能有做任何他想做的事的钥匙。3再说一次,这要看情况而定。