Robo de Facebook o ¿Código de verdad (no token) sin uso?

Navega tus respuestas
1

Estoy probando una aplicación web que tiene una opción para conectarse a su cuenta de Facebook. El flujo de inicio de sesión oauth comienza así:

enlace

No puedo cambiar el dominio del parámetro redirect_uri, pero puedo cambiar la parte de "recurso" de redirect_uri, de modo que puedo apuntarlo a una página donde puedo insertar una etiqueta img con el atributo src apuntando a mi sitio, y por eso robar el código oauth a través del encabezado del referente.

¿Pero es el código de facebook auth de alguna utilidad para mí? No veo una forma de cambiarlo por un token de acceso. El tipo de respuesta = token está deshabilitado.

    
pregunta pineappleman 31.03.2017 - 13:52
fuente

1 respuesta

1

Un código se intercambia por un token, a través de una llamada autenticada por la aplicación receptora. Eso significa que la aplicación receptora tiene un ID de cliente y un secreto que utiliza para autenticarse antes de que pueda obtener un token en nombre del usuario.

En este caso particular, todo depende de si puede obtener acceso a la ID del cliente y al secreto. No puedes hacer nada sin ellos, por lo que el código es efectivamente inútil.

Hay un escenario (vulnerabilidad IOW) donde se puede usar cualquier código con cualquier ID / secreto de cliente, por lo que podría usar el código si creó el suyo, pero esto no es particularmente común y no tengo dudas de que Facebook ya da cuenta de esto.

    
respondido por el Steve 31.03.2017 - 14:56
fuente

Lea otras preguntas en las etiquetas

Implicaciones de privacidad de la comunicación secreta 3G de la CPU de Intel (Anti Theft 3.0) ¿Puede un WAF bloquear o detectar un archivo html creado y un script / shell PHP ofuscado?