SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

OAuth2.0

認可リクエストとアクセストークンリクエストのredirect_uri検証によって防げる脅威

はじめに こんにちは、脆弱性診断員の秋本です。 今回のブログもまたOAuthの話です。 先日、OAuth2.0の各必須パラメータについてまとめていたところ、アクセストークンリクエストでredirect_uriを検証する必要とは?について頭を抱えていました。 RFC6749に…

OAuth2.0におけるCSRFとは

はじめに こんにちは、診断員の秋本です! 最近、ダイワスカーレットのドヤ顔を見るためだけにウマ娘をプレイしてます。ゲームシステム全然わからん…。 皆さんは、RFC6749で定義されているOAuth2.0をご存じでしょうか。 OAuth2.0には実装不備によって生じて…