【问题标题】:Hybrid Flow Web View Attacker Knows Redirect URL (IdentityServer4)混合流 Web 视图攻击者知道重定向 URL (IdentityServer4)
【发布时间】:2018-08-03 17:08:24
【问题描述】:

我对混合流程有些困惑。

在这种情况下,假设我们有一个需要对用户进行身份验证的本机桌面应用程序。对于这种情况,我们使用推荐的混合流。

据我了解,我们将使用嵌入式 Web 浏览器将用户引导至身份服务器的登录页面。用户登录成功,服务器将 Web 浏览器重定向到注册的重定向 url。桌面应用程序会收到此重定向的通知(类似于 OnLoadFinished 事件)并解析包含一些信息(包括授权代码)的新 url。然后桌面应用程序将此授权代码交换为访问令牌/刷新令牌。

考虑到这个过程,如果恶意用户知道重定向 url 和客户端 ID 是什么(假设这个用户是前雇员),他们是否完全有可能创建一个非常相似的应用程序,比如我们的桌面应用程序来诱骗用户使用该恶意应用程序?由于他们知道重定向 url 和客户端 ID,因此他们可以模拟上述过程并获取访问/刷新令牌。

我的理解是正确的还是我遗漏了什么?

【问题讨论】:

    标签: oauth-2.0 identityserver4


    【解决方案1】:

    你完全正确。就像用户在其机器/设备上安装的任何其他恶意软件一样。

    【讨论】:

    • pkce 不能阻止这种类型的攻击吗?
    • PKCE 用于防止对回调的拦截攻击 - 而不是来自应用模拟。
    【解决方案2】:

    我猜,如果有人在您的应用程序中应用逆向工程并获得您的 client_id + 重定向,也会发生这种情况。

    这是否意味着暴露 client_id + 重定向 uri 与在公共客户端中暴露 client_id + client_secret 一样危险?

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-03-21
      • 1970-01-01
      • 1970-01-01
      • 2011-04-17
      • 2017-08-07
      • 2021-12-06
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多