Preguntas con etiqueta 'confused-deputy'

3
respuestas

¿Cuál es el propósito de la comprobación de redirect_uri de OAuth 2.0?

El mecanismo del código de autorización de la especificación OAuth 2.0 incluye la comprobación de URI de redireccionamiento desde el sitio al que se redirige. Consulte pasos D y E en la sección 4.1 de la especificación . Además, sección 4.1.3...
hecha 21.10.2013 - 20:13
2
respuestas

¿Cómo se protege el origen en nulo en una solicitud CORS redirigida contra un ataque de agente confuso?

Extracto de Aquí :    Si un recurso de origen cruzado redirige a otro recurso en un nuevo origen, el navegador establecerá el valor del encabezado de Origen en nulo después de la redirección. Esto evita ataques adicionales de agentes confuso...
hecha 19.10.2017 - 17:10
1
respuesta

¿Son las inyecciones de comandos ejemplos de agentes confusos?

En una inyección de comando engaña a un servicio para que haga algo por usted que normalmente no haría. ¿Significa eso que las inyecciones de comandos son ejemplos de (explotar) agentes confusos? ¿Lo contrario también es válido? Más generalme...
hecha 21.10.2017 - 12:55
1
respuesta

¿Por qué los sistemas de seguridad basados en capacidades protegen contra el confuso problema del agente?

Según Wikipedia ( enlace ):    En seguridad de la información, el confuso problema de diputado se cita a menudo como   Un ejemplo de por qué la seguridad basada en capacidades es importante, como   Los sistemas de capacidades protegen contra...
hecha 15.11.2018 - 09:51
1
respuesta

OAuth + Confused Deputy + verificación de token de acceso + parámetro de estado

El artículo "Usando OAuth 2.0 para la aplicación del lado del cliente" de Google en enlace indica que el cliente DEBE validar todo Acceda a los tokens para verificar que fue el destinatario del token de acceso, para evitar ser vulnerable al co...
hecha 09.02.2015 - 22:35
1
respuesta

Android, ¿cómo puedo prevenir los ataques confusos de los diputados?

En caso de que una aplicación móvil maliciosa no tenga los permisos adecuados, por ejemplo, descargar un archivo, puede invocar un navegador para descargar algo. Ejemplos concretos de tal ataque se muestran de la página 27 a la página 29 en Arq...
hecha 15.10.2013 - 02:34
1
respuesta

¿El flujo de código de autorización de OAuth 2 es vulnerable al problema del agente confuso?

El problema del agente confuso (también conocido como 'The Devil Wears Prada') es una vulnerabilidad de OAuth 2 que surge cuando el protocolo se usa para la autenticación. Esencialmente, un cliente malicioso obtiene un token para un usuario y lo...
hecha 05.12.2017 - 17:32
2
respuestas

¿Es seguro usar OAuth (concesión de credenciales de contraseña del propietario del recurso) para la autenticación?

Específicamente, ¿tengo que preocuparme por el confuso problema del diputado si estoy tratando de autorizar a un usuario contra una sola API? Por ejemplo: un servicio de mensajería básico querrá autenticarse y luego autorizar a un usuario a e...
hecha 07.09.2016 - 23:34