یکی از سرویس های مدرن و قوی احراز هویت ، سرویس OAuth می باشد که گوگل در gmail از آن استفاده می کند. مثلا فرض کنید برنامه ای می خواهد به تقویم ایمیل شما فقط دسترسی داشته باشد . گوگل به جای اینکه پسورد ایمیل شما را به این برنامه بدهد ، از مکانیزم OAuth استفاده می کند. به تازگی آسیب پذیری از نوع XSS برای این مکانیزم منتشر شده است که فرد هکر با سرقت توکن Oauth می تواند به اطلاعات حساس دسترسی پیدا نماید ، کدهای js اجرا کند و مکانیزم های دفاعی و امنیتی را bupass نماید. ۱ میلیون وب سایت در معرض این تهدید می باشند.
بدون دیدگاه