GET 请求中公开的 IBM Mobile First 8.0 oAuth 流 "client_id" 和 "redirect_uri"
IBM Mobile First 8.0 oAuth flow "client_id" and "redirect_uri" exposed in GET Request
我们在 IOS 应用程序中使用 IBM Mobile First 8.0 框架。
该框架使用 oAuth2.0 流程进行身份验证流程。
我看到 client_id 和 redirect_uri 被传递到 GET 请求中的授权端点。看起来这个流程实际上是由 Mobile First 框架处理的,我无法控制它。
response_type=代码
范围=
client_id=CLIENT_ID
redirect_uri=REDIRECT_URL
在 GET 请求中暴露 "client_id" 和 "redirect_uri" 有哪些安全漏洞?
编辑:
我更改了代码中的 redirect_uri 并向授权端点发出请求。
我以为他们是在框架级别完成的一些白名单,但事实并非如此。
这是我看到的,authorization_code 被传递给了 hackerserver。
http://hackerserver:port/context/getdata?code=authorization_code
没有公开这些值的已知风险。这些值与客户端 SDK 中的其他加密数据一起用于识别客户端。他们自己是不够的。
此外,正如评论中提到的iddo,你应该使用SSL/TLS。能够监听您的流量的人本身就是一个问题,无论客户端 ID 和其他什么。
我们在 IOS 应用程序中使用 IBM Mobile First 8.0 框架。 该框架使用 oAuth2.0 流程进行身份验证流程。
我看到 client_id 和 redirect_uri 被传递到 GET 请求中的授权端点。看起来这个流程实际上是由 Mobile First 框架处理的,我无法控制它。
response_type=代码
范围=
client_id=CLIENT_ID
redirect_uri=REDIRECT_URL
在 GET 请求中暴露 "client_id" 和 "redirect_uri" 有哪些安全漏洞?
编辑:
我更改了代码中的 redirect_uri 并向授权端点发出请求。
我以为他们是在框架级别完成的一些白名单,但事实并非如此。
这是我看到的,authorization_code 被传递给了 hackerserver。 http://hackerserver:port/context/getdata?code=authorization_code
没有公开这些值的已知风险。这些值与客户端 SDK 中的其他加密数据一起用于识别客户端。他们自己是不够的。
此外,正如评论中提到的iddo,你应该使用SSL/TLS。能够监听您的流量的人本身就是一个问题,无论客户端 ID 和其他什么。