我正在阅读有关Facebook Connect的信息,它看起来很像OpenID Connect。这两个是否足够相似,以至于 Facebook Connect 密钥是OAuth 客户端密钥,因此适用相同的攻击?
或者换一种说法,如果攻击者从 Web 应用程序中窃取了 Facebook Connect 密钥,他会怎么做?
(编辑:这是有问题的令牌)
攻击者如何利用泄露的密钥滥用 Facebook Connect?
信息安全
oauth
打开ID
Facebook
2021-08-16 06:34:45
2个回答
这取决于您将哪个密钥称为“密钥”:
应用程序的密钥或app secret允许您生成应用程序访问令牌。使用此访问令牌,您可以完全访问Graph API 应用程序对象。掌握了您的应用机密的攻击者可以从您的应用仪表板更改所有设置。你绝对不应该让这个令牌离开你的安全服务器。
身份验证后授予用户的访问令牌可以允许攻击者以与您的应用程序相同的方式查询 Graph API。Facebook 不会知道其中的区别。这种攻击的可能影响取决于您的应用程序所需的权限。
当使用 Facebook 访问应用程序时,访问令牌与用户相关联。此访问令牌允许应用程序对用户的个人资料具有访问级别权限。如果此访问令牌被盗,则可以在未经用户同意的情况下将内容发布到用户的个人资料中。
其它你可能感兴趣的问题