oauth - Sekurak

Można było obejść funkcję “loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

01 marca 2020, 21:10 | Aktualności | komentarzy 11

W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…

Czytaj dalej »

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

07 listopada 2019, 19:50 | Aktualności | komentarze 2

Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…

Czytaj dalej »

OAuth 2.0 – jak działa / jak testować / problemy bezpieczeństwa

13 lutego 2017, 09:10 | Teksty | komentarzy 21

Przewodnik po OAuth2.0 – z nastawieniem na szukanie dziury w całym. Od podstaw aż po możliwe problemy bezpieczeństwa.

Czytaj dalej »

Tag: oauth

Można było obejść funkcję “loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

OAuth 2.0 – jak działa / jak testować / problemy bezpieczeństwa