[Перевод] XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта

Все блоги / Про интернет 23 октября 2024 43

В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации.

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Врождённый порок ICO. Как токены угрожают будущему проектов

ICO как способ краудфандинга проектов, основанный на продаже стартапами собственной криптовалюты — токена, как правило, выпущенного в виде смарт-контракта на платформе Ethereum, — стало одним из трендов 2017 года. Оно позволяет проектам предлагать пользователям куда более интересные условия

подробнее »

5 октября 2017

Как привлечь инвестиции через внутреннюю валюту

CATs, аббревиатура от Custom Application Tokens, представляет собой технологию, благодаря которой каждый проект может выпускать собственную криптовалюту — специальные токены приложений. Данный инструмент позволяет бизнесу создать внутреннюю валюту на блокчейне, которую держатели затем могут продать

подробнее »

21 февраля 2017

Как мы собрали $200 000 за 30 минут, не обращаясь в инвестфонды

Привлечь деньги на стадии посева в России всегда было непросто. В 2012 году я запускал Miiix - SaaS-платформу для маркетплейсов и онлайн-ритейлеров. Чтобы собрать $120 000 на старт и развитие, мне пришлось потратить около полугода и отдать 30% будущей компании. В итоге проект состоялся, спустя год

подробнее »

1 сентября 2017

[Перевод] Почему работать с OAuth сложно даже сегодня?

OAuth — это стандартный протокол. Ведь так? И для OAuth 2.0 есть клиентские библиотеки практически на всех языках программирования, которые можно представить. Вероятно, вы подумаете, что имея клиентскую библиотеку, можно реализовать OAuth для любого API буквально за десять минут. Или хотя бы за

подробнее »

10 мая 2023

Переезжаем со старого аккаунта Google на новый

Иногда бывают такие случаи, когда вам ну очень нужно перейти на новый аккаунт. Например, вы были ярым поклонником Star Wars и адрес вашей электронной почты выглядел примерно так – darkside@gmail.com. И на этом аккаунте у вас завязаны все важные сервисы, ключевая информация и многое другое. Но

подробнее »

6 августа 2010

OpenID Mod авторизации для DLE

Представляем вам долгожданный модуль OpenID авторизации на сайтах работающих на движке DataLife Engine. Модуль использует Loginza.API, позволяет авторизироваться с помощью следующих систем: Google, Yandex, Mail.Ru, VKontakte, Facebook, Twitter, Loginza, myOpenID, WebMoney, Rambler, flickr, last.fm,

подробнее »

30 июля 2010