Основные блоги b.Z » Все блоги » Про интернет » [Перевод] XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта

[Перевод] XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта

Все блоги / Про интернет 23 октября 2024 97   
Смотреть в Telegram Поделиться в TG

В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации.

Читать далее

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Врождённый порок ICO. Как токены угрожают будущему проектов

ICO как способ краудфандинга проектов, основанный на продаже стартапами собственной криптовалюты — токена, как правило, выпущенного в виде смарт-контракта на платформе Ethereum, — стало одним из трендов 2017 года. Оно позволяет проектам предлагать пользователям куда более интересные условия

подробнее »
5 октября 2017
Как привлечь инвестиции через внутреннюю валюту

CATs, аббревиатура от Custom Application Tokens, представляет собой технологию, благодаря которой каждый проект может выпускать собственную криптовалюту — специальные токены приложений. Данный инструмент позволяет бизнесу создать внутреннюю валюту на блокчейне, которую держатели затем могут продать

подробнее »
21 февраля 2017
Как мы собрали $200 000 за 30 минут, не обращаясь в инвестфонды

Привлечь деньги на стадии посева в России всегда было непросто. В 2012 году я запускал Miiix - SaaS-платформу для маркетплейсов и онлайн-ритейлеров. Чтобы собрать $120 000 на старт и развитие, мне пришлось потратить около полугода и отдать 30% будущей компании. В итоге проект состоялся, спустя год

подробнее »
1 сентября 2017
[Перевод] Почему работать с OAuth сложно даже сегодня?

OAuth — это стандартный протокол. Ведь так? И для OAuth 2.0 есть клиентские библиотеки практически на всех языках программирования, которые можно представить. Вероятно, вы подумаете, что имея клиентскую библиотеку, можно реализовать OAuth для любого API буквально за десять минут. Или хотя бы за

подробнее »
10 мая 2023
Переезжаем со старого аккаунта Google на новый

Иногда бывают такие случаи, когда вам ну очень нужно перейти на новый аккаунт. Например, вы были ярым поклонником Star Wars и адрес вашей электронной почты выглядел примерно так – darkside@gmail.com. И на этом аккаунте у вас завязаны все важные сервисы, ключевая информация и многое другое. Но

подробнее »
6 августа 2010
OpenID Mod авторизации для DLE

Представляем вам долгожданный модуль OpenID авторизации на сайтах работающих на движке DataLife Engine. Модуль использует Loginza.API, позволяет авторизироваться с помощью следующих систем: Google, Yandex, Mail.Ru, VKontakte, Facebook, Twitter, Loginza, myOpenID, WebMoney, Rambler, flickr, last.fm,

подробнее »
30 июля 2010
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии