OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog

テクノロジーカテゴリーの変更を依頼記事元:

www.nevermoe.com

66 usersがブックマークコメント

記事へのコメント3件

注目コメント
新着コメント

ritou これはAuthZ Serverが仕様通りに実装されていることの認定ではありますが、今回の対象のSDKのところまで安全なことを保証しているわけではないですね。 > OpenID Foundation で発行した Certification には安全性レベルの定義はない

2019/12/20 リンク

niconegoto “OAuth の idP 両社の脆弱性を見つけ、50万円賞金もらって終わりと思ったらいつの間に両社経営統合されました”

2019/12/19 リンク

nilab 「両社の対応スピード感等に大きな差が感じました。LINE には7月12日に脆弱性報告し、2週間後に修正され、一ヶ月後に賞金を講座に振り込まれました。Yahoo はバグバウンティプログラムが存在しないので、8月5日にIPA経由で

2019/12/23 リンク

2019/12/20 リンク

niconegoto “OAuth の idP 両社の脆弱性を見つけ、50万円賞金もらって終わりと思ったらいつの間に両社経営統合されました”

2019/12/19 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

<iframe marginwidth="0" marginheight="0" src="https://b.hatena.ne.jp/entry.parts?url=https%3A%2F%2Fwww.nevermoe.com%2F2019%2F07%2F25%2Foauth2-0%25E3%2582%2592%25E5%25BE%25A9%25E7%25BF%2592%25E3%2581%2597%25E3%2581%25A6line%25E3%2581%25A8%25E3%2583%25A4%25E3%2583%2595%25E3%2583%25BC%25E3%2581%25AE%25E8%2584%2586%25E5%25BC%25B1%25E6%2580%25A7%25E8%25A6%258B%25E3%2581%25A4%25E3%2581%2591%25E3%2581%259F%25E3%2582%2589%25E4%25B8%25A1%25E7%25A4%25BE%2F" scrolling="no" frameborder="0" height="230" width="500"><div class="hatena-bookmark-detail-info"><a href="https://www.nevermoe.com/2019/07/25/oauth2-0%E3%82%92%E5%BE%A9%E7%BF%92%E3%81%97%E3%81%A6line%E3%81%A8%E3%83%A4%E3%83%95%E3%83%BC%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E8%A6%8B%E3%81%A4%E3%81%91%E3%81%9F%E3%82%89%E4%B8%A1%E7%A4%BE/">OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog</a><a href="https://b.hatena.ne.jp/entry/s/www.nevermoe.com/2019/07/25/oauth2-0%E3%82%92%E5%BE%A9%E7%BF%92%E3%81%97%E3%81%A6line%E3%81%A8%E3%83%A4%E3%83%95%E3%83%BC%E3%81%AE%E8%84%86%E5%BC%B1%E6%80%A7%E8%A6%8B%E3%81%A4%E3%81%91%E3%81%9F%E3%82%89%E4%B8%A1%E7%A4%BE/">はてなブックマーク - OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog</a></div></iframe>

プレビュー

規約違反を報告

OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog

0x00 背景一 Web Pentester の立場から、毎回 OAuth 連携の案件が来る時に、どこが診断する必要なのか... 0x00 背景一 Web Pentester の立場から、毎回 OAuth 連携の案件が来る時に、どこが診断する必要なのか、どこが idP の SDK 使っているから診断不要なのかを見極める必要があり、このような背景において、OAuth2.0 をもう一回復習して、心得を共有したいと思い始めました。（0x01~0x08）。復習しているうちに、OAuth の idP 両社の脆弱性を見つけ、50万円賞金もらって終わりと思ったらいつの間に両社経営統合されました。この話を読みたい方は 0x09 から読んでください。この文章を読む前提は二つあります： OAuth2.0 の各種認証 Flow (すくなくとも Implicit Grant, Code Grant, Code Grant with PKCE) を大まかに理解していること。この文章図解：OAuth 2.0に潜む「5つの脆弱性」と解決法に