OAuth で state パラメーターを使わなかった場合に起きうることの例 - dodosuke0920’s blogAuthlete Inc. で事業開発(営業)を担当している 岸田 と言います。前回、イギリスの銀行 API での UX について翻訳してみましたが、今回はもう少し技術よりの話をしたいと思います。 先週、社内の Slack 上で、下記のブログが流れてきました。 medium.com API を公開するサービス自体の脆弱性と、API を利用する側の実装不備を利用した攻撃に関してです。今回の話の中心である state パラメーターについては、その必要性含めいろいろお問合せいただくことも少なくないですし、また、私自身ちょっと理解するのに苦労したので、簡単にまとめてみたいと思います。 報告されている脆弱性 ブログで報告されている脆弱性をまとめるとこんな感じです。 OAuth 2.0 を実装し、API 経由で別サービスにファイルを共有可能なサービスを想定する。そのサービスでは、{{construct
