Безопасность OAuth2 (2)
Это — сиквел моей сногсшибательной первой статьи. Готов поспорить что каждый веб разработчик сталкивался с фейсбук коннектом или вконтакте логином или аутенфикацией через твиттер. Все это по сути построено на основе OAuth1/2. Мое мнение заключается в том что мы все ступили не на ту дорожку. OAuth это дорожка в ад (к слову, Эран Хаммер сейчас работает над заменой oauth — oz). В этой статье я не буду погружаться в модель атаки, а перескажу совершенно конкретные уязвимости которые вы можете начать использовать прямо сейчас.Читать дальше →
