学徒-程序实现漏洞-隐式授权模式的不当实现

# 实验室：通过 OAuth 隐式流绕过身份验证

# 题目

此实验室使用 OAuth 服务，允许用户使用其社交媒体帐户登录。客户端应用程序的验证存在缺陷，使攻击者能够在不知道密码的情况下，登录到其他用户的帐户。

若要解决实验室问题，请登录到 Carlos 的帐户。他的电子邮件地址是carlos@carlos-montoya.net。

你可以使用以下凭据登录到自己的社交媒体帐户：wiener:peter。

实验室-学徒

通过 OAuth 隐式流绕过身份验证 >>

- name: 实验室-学徒
  desc: 通过 OAuth 隐式流绕过身份验证 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/oauth/lab-oauth-authentication-bypass-via-oauth-implicit-flow
  bgColor: '#001350'
  textColor: '#39d50c'

1
2
3
4
5
6

# 实操

（目前只有图，文字后面有时间补）

点击 “ACCESS THE LAB” 进入实验室。

{"email":"carlos@carlos-montoya.net","username":"carlos","token":"<wiener账户的访问令牌>"}

xQkcNSb7cBCDUyUqhlMVG2heUmYVxPo9

编辑

← 专家-浏览器驱动的请求走私-基于暂停的服务端请求走私从业者-程序实现漏洞-CSRF防护缺陷→