На прошлой неделе у PortSwigger вышел неплохой материал для любителей поковыряться в OAuth2 и OIDC. Рассмотрены три новые уязвимости для демонстрации которых используются опенсорсные реализации OAuth и OpenID Connect — ForgeRock OpenAM и MITREid Connect.
> https://portswigger.net/research/hidden-oauth-attack-vectors
Для большего погружения в тему работы OAuth/OIDC, их реализации, известных атак и безопасности:
https://portswigger.net/web-security/oauth
https://portswigger.net/web-security/oauth/openid
https://www.polarsparc.com/xhtml/OAuth2-OIDC.html
https://medium.com/a-bugz-life/the-wondeful-world-of-oauth-bug-bounty-edition-af3073b354c1
https://maxfieldchen.com/posts/2020-05-17-penetration-testers-guide-oauth-2.html
