¿Es peligroso compartir públicamente un token sin ámbito?

4

Si un servicio le permite crear tokens OAuth sin ningún ámbito (permitiendo 5k API solicitudes / hora para recursos públicos), ¿es peligroso compartir estos tokens públicamente?

El problema obvio que veo es que cualquiera podrá usar este token para alcanzar el límite de solicitud del usuario que lo compartió.

¿Hay algún otro problema al compartir dicho token públicamente?

¿Qué sucede si el servicio le permite actualizar los ámbitos de OAuth del mismo token sin regenerar el token?

    
pregunta Ionică Bizău 15.01.2016 - 06:24
fuente

1 respuesta

2

Algunos problemas que se me ocurren son:

  • Agotando el límite de solicitud, impidiendo que cualquier usuario, dependiendo de ese token, lo use
  • Violar los términos del acuerdo de servicio al compartir un token que se supone que permanece en secreto / en posesión de un solo usuario
  • Si la API está sujeta a tal vulnerabilidad, la explotación de la "fijación de sesión", donde otro usuario autentica o llama a un método de escalado de privilegios que actualiza los privilegios disponibles para el token sin cambiarlo (lo que permite el acceso a la cuenta de ese usuario para todos los titulares del token)
  • Algunos métodos API pueden variar su respuesta en función de las llamadas a otros métodos (o el mismo método). Si sabe que las aplicaciones dependen de ciertos formatos para una respuesta (por ejemplo, XML o JSON), puede aprovechar esto para forzar al punto final de confianza (la API expuesta) a atacar cualquier aplicación que lo esté utilizando, porque compartirá una sesión.
respondido por el deed02392 18.01.2016 - 11:13
fuente

Lea otras preguntas en las etiquetas