【发布时间】:2016-06-20 20:28:09
【问题描述】:
是什么阻止了以下情况:
- 攻击者下载合法的应用程序,该应用程序向所需资源授予合法的 OAuth 2.0 授权
- 攻击者记录client_id和redirect_uri
- 攻击者在真实事物的图像中创建虚假应用程序
- 受害者下载虚假应用并开始 OAuth 2 流程以获取所需资源
- 虚假应用提供与合法应用相同的 client_id 和 redirect_uri
- 受害者验证并授权使用所需资源
- Phony 应用程序无需点击 URL(我知道 iOS 可以做到这一点)并保护其包含的授权代码即可捕获重定向。
- 虚假应用现在可以“以合法应用的名义”访问所需资源
在使用公共客户端(无 client_secret)时,是否有任何方法可以实际验证发出授权请求的应用的身份?
【问题讨论】:
-
Phony app catches the redirect without ever hitting URL怎么样?如果这是在应用程序本身内,则应用程序可以在流程被重定向到 idP 时简单地获取凭据。