文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    隐藏的OAuth攻击向量

    OpenID Connect漏洞:"动态客户端注册:SSRF设计","redirect_uri会话中毒"和"WebFinger用户枚举",我们将介绍关键概念,并在两台开源OAuth服务器(ForgeRock OpenAM...Protocol 我们在ForgeRock的OpenAM服务器中发现了一个很好的易受攻击的webfinger端点示例,这个商业软件曾经有一个LDAP注入漏洞。...在源代码分析期间,我们发现当OpenAM服务器处理请求时,它将用户提供的资源参数嵌入到LDAP服务器的过滤器查询中,LDAP查询是在SmsLDAP对象.java文件: String[] objs = {...从攻击者的角度来看,可以使用LDAP过滤器访问LDAP中存储的用户对象的不同字段,攻击场景之一可能是枚举有效的用户名: /openam/.well-known/webfinger?...服务器的标准OpenID组件中,不需要任何身份验证,我们在OpenAM的最新开源版本中发现了此漏洞,位于https://github.com/OpenRock/OpenAM,当我们报告ForgerRock

    3.5K90

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券