1
- 受害者通過系統瀏覽器在一個的oauth2授權碼流授權服務器進行身份驗證,並出具由認證服務器
- 受害者被誘騙點擊,在其推出的的oauth2對攻擊者網站的鏈接的會話cookie通過朝的oauth2授權服務器與客戶端ID受害者的瀏覽器授權請求和重定向URI襲擊者OAuth2用戶端,因爲會話cookie已經由認證服務器發出,但只是要求受害人給予
- 授權服務器不需要身份驗證的受害者攻擊者客戶端訪問 - 在這種情況下,受害者被假定爲做
- 授權服務器將重定向受害者的瀏覽器攻擊者重定向URI(假定它指向一個Web應用程序)與授權碼授權響應受害者
- 現在的攻擊者擁有授權碼的受害人,他或者她可以換取刷新&訪問令牌
什麼反對這一點的最好可能的預防措施,除了對受害者不接受授予攻擊者客戶端訪問? 我的意思是,普通的互聯網用戶通常會在正常的日子裏點擊接受很多東西,而不用多加考慮。如何防止以下CSRF攻擊Oauth2?
你知道的事實,有一個[信息安全協議棧交換](http://security.stackexchange.com/)? – timmyRS
我認爲應用程序安全是安全和編碼之間的一個多學科領域,可能更多地屬於StackOverflow。信息安全協議討論的信息安全協議是一個更爲廣泛的領域,很多人不是開發人員。他們處理不同層面的問題,有時更多是從理論角度來處理。所以總之我認爲這確實是一個編程問題。 –