#pentest #practice Протокол авторизации OAuth 2.0 (оф. докуме | Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

#pentest #practice

Протокол авторизации OAuth 2.0 (оф. документация) позволяет приложениям осуществлять ограниченный доступ к пользовательским аккаунтам на HTTP-сервисах.

Он работает по принципу делегирования аутентификации пользователя сервису, на котором находится аккаунт пользователя, позволяя стороннему приложению получать доступ к аккаунту пользователя. OAuth 2.0 работает в вебе, на десктопных и мобильных приложениях.

Данный протокол интересен для пентестеров, поскольку он чрезвычайно распространен и по своей природе подвержен ошибкам при реализации. Это может привести к ряду уязвимостей, позволяющих получать конфиденциальные данные пользователя и потенциально полностью обходить аутентификацию.

В сегодняшнем материале подробно описаны некоторые ключевые уязвимости, обнаруженные в механизмах аутентификации OAuth 2.0, а также представлены некоторые рекомендации по защите приложений от таких атак. В лучших традициях PortSwigger материал сопровождается практическими заданиями.

https://proglib.io/w/6f738c30

Про OAuth 2.0 простым и понятным языком на Хабре