标签归档csrf

关于 OAuth2.0 安全性你应该要知道的一些事

Chris Yue 18 comments

当前已是 2017 年,似乎现在还来说 OAuth 2.0 的话题有点过时了,不过很多新人在使用 OAuth 2.0 的时候,也就是照着微信、微博的文档按部就班,不求甚解。而很多细节,微信微博之类的文档自然也是不多说。但如果不了解 OAuth 2.0 的美妙之处,该注意的地方不注意,可是会有安全风险的哦。

登录表单是否需要 CSRF 保护?

Chris Yue No Comments

在过去相当长一段时间里,我认为登录是不需要 CSRF 保护的。我的想法是,让受害者做一些“需要权限并能改变数据”的事情才是 CSRF 的『人生目标』。而登录却是不需要权限也不会改变数据(当然,日志,或者积分什么的还是会创建,只不过不能给攻击者带来什么实质性的好处),所以 CSRF 保护一个登录表单能有什么用呢。

后来得知“Login CSRF”这个术语之后,专门上网查阅了一下,才发现事情没这么简单,原来还可以这么玩儿:

2018年十二月
« 10月  
 12
3456789
10111213141516
17181920212223
24252627282930
31