OAuth トークンの検証に失敗すると、Web サイトでアカウントが乗っ取られる from csoonline.com

security summary


Failure to verify OAuth tokens enables account takeover on websites - csoonline.com
www.csoonline.com
Failure to verify OAuth tokens enables account takeover on websites - csoonline.com
Report shows the importance of ensuring OAuth implementation is secure to protect against ...

Grammarly の実装にはセキュリティ侵害に対して脆弱だった、と Salt Security チームは述べています。
Grammarl の実装にはトークン検証ステップがありましたが、Grammarl ではトークンを検証するためにコードの代わりに「トークン検証」を使用する必要がありました。
攻撃対象のサービスによっては、この攻撃により、個人情報の盗難、金融詐欺、個人情報へのアクセスが引き起こされる可能性があります。
Bukalapak のサイトには、そのプロファイルに請求および支払い情報が保存されていました。

コメント

タイトルとURLをコピーしました