filmov
tv
Stealing OAuth access tokens via an open redirect
Показать описание
Este laboratorio utiliza un servicio OAuth para permitir a los usuarios iniciar sesión con su cuenta de redes sociales. La validación defectuosa por parte del servicio OAuth hace posible que un atacante filtre tokens de acceso a páginas arbitrarias en la aplicación cliente.
Para resolver el laboratorio, identifique un redireccionamiento abierto en el sitio web del blog y utilícelo para robar un token de acceso para la cuenta del usuario administrador. Utilice el token de acceso para obtener la clave API del administrador y envíe la solución mediante el botón que se proporciona en el banner del laboratorio.
Nota
No puede acceder a la clave API del administrador simplemente iniciando sesión en su cuenta en la aplicación cliente.
El usuario administrador abrirá todo lo que envíe desde el servidor de exploits y siempre tendrá una sesión activa con el servicio OAuth.
Puede iniciar sesión con su propia cuenta de redes sociales con las siguientes credenciales: wiener: peter.
Para resolver el laboratorio, identifique un redireccionamiento abierto en el sitio web del blog y utilícelo para robar un token de acceso para la cuenta del usuario administrador. Utilice el token de acceso para obtener la clave API del administrador y envíe la solución mediante el botón que se proporciona en el banner del laboratorio.
Nota
No puede acceder a la clave API del administrador simplemente iniciando sesión en su cuenta en la aplicación cliente.
El usuario administrador abrirá todo lo que envíe desde el servidor de exploits y siempre tendrá una sesión activa con el servicio OAuth.
Puede iniciar sesión con su propia cuenta de redes sociales con las siguientes credenciales: wiener: peter.
0:07:12
0:04:45
0:13:42
0:07:59
0:03:50
0:03:30
0:04:17
0:08:15
0:03:32
0:05:57
0:15:36
1:03:39
1:10:57
0:10:43
0:11:26
0:16:10
0:01:05
0:03:46
0:10:03
0:45:46
0:05:33
0:09:53
0:08:38
0:13:21