我在网上搜索了很多,但没有用。我想知道如果攻击者获得了Google Oauth2应用程序的client_id和client_secret,该怎么办。希望他能看到什么信息?他可以编辑应用程序配置吗?他可以看到其他人的信息吗?
我以前没有使用过Oauth2.0,所以请简单回答
谢谢!
答案 0 :(得分:1)
我想知道如果攻击者获得了client_id,该怎么办? 和Google Oauth2应用的client_secret。
OAuth 2客户端机密必须受到保护。但是,如果泄漏,攻击者还需要一件物品。有效的redirect_uri。如果攻击者同时具有(公共)客户端ID,则他们可能能够为您的帐户生成OAuth令牌。
redirect_uri通常对http://localhost有效,因为开发人员在开发完成后忘记删除此URI。这意味着某人可以运行本地服务器并生成OAuth令牌。这是一个很大的安全漏洞。
他们可以使用OAuth令牌做什么?取决于...
像他将看到的信息一样?他可以编辑应用程序吗 配置?他可以看到其他人的信息吗?
您没有指定谁的OAuth系统,正在授权什么,等等。因此答案是“取决于”。
对于Google Cloud,黑客将需要Google Cloud中授权人员的凭据。有些系统的安全性很差,因此,正如他们所说,任何事情都可能发生,并且通常会在设计不当的安全性上发生。
在经过适当设计的系统中,黑客需要穿越多个层次。拥有“客户端机密”有很大帮助,但并不是完全安全失败。黑客只能通过系统进行身份验证。下一层是授权,需要被破坏。在设计正确的系统中,黑客将需要向具有授权权限的用户进行身份验证。如果黑客拥有该功能,那么您将遇到大麻烦。他可能拥有完成他想做的任何事情的钥匙。再次,这取决于。