V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Agromania  ›  全部回复第 7 页 / 共 11 页
回复总数  206
1  2  3  4  5  6  7  8  9  10 ... 11  
2015-02-10 18:12:03 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
@nopy 但是oauth的授权机制要求最终用户来授权才行啊,比如你通过qq号登录京东商城,(京东在这里是app,qq是oauth service provider)
我做了个小黑站,我偷了京东的腾讯开放平台app id 和 key,然后呢?你又不来我的小黑站授权,我把我的小黑站授权地址(其实和京东的授权地址一模一样)发给你其实回调地址还是跳转的京东,我好像也做不了啥能让警察叔叔抓你,或者抓刘强东的事情啊……我实在是想不明白。
把1M的VPS升到2M
2015-02-10 17:55:04 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
所以是不是Bob还必须要用钓鱼的方式,在John访问应用A的时候劫持到自己的仿冒应用C,引导John授权,拿到access_token,然后Bob就可以访问和操作John的a,b,c数据了?

再假设如果应用A的权限只是一般应用的权限,Bob自己也申请了一个应用B,也可以访问X上用户的a,b,c数据,那上面这么复杂的攻击还有其他的意义和利益吗?



我知道这个secret应该是非常重要的东西,但是我实在是想不出来严重的场景……
2015-02-10 17:49:02 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
@zts1993 我可能理解的不对,但是我理解的是这样,

OAuth服务提供者X OAuth应用A 最终用户John

攻击者Bob自己的OAuth应用B
攻击者Bob自己的应用C(没有申请X的app)

攻击者Bob


首先最终用户要有X上的受信账号
1. 用户John向应用A申请通过X授权,把自己在的X上的用户id告诉A,
2. A通过自己的app id - secret和John的用户id, 把John的意愿告诉X(引导John到X的登录授权页面)
3. X向用户John告知A请求你授权,授权后,A可以访问你的a, b, c数据
4. 用户John登录X
5. X告诉A, John已经授权你了(回调地址, access_token)
6. A通过access_token可以访问John的a,b,c数据

现在攻击者Bob来了,他通过某种方式盗取了A的app id 和secret,Bob做了一个应用C,使用了A的app id和secret,但是John不知道应用C也不使用应用C,

现在Bob他能干嘛呢?
2015-02-10 17:31:30 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
@halfcrazy CSRF跟这个场景完全不一样吧,攻击方式和利用信任也不一样,受害者也不一样
CSRF的受害者是在不知情的情况下在B站上提交了指向A站的Form的用户
2015-02-10 17:19:52 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
@zts1993 我就是想不明白,伪造了请求,然后呢。

现实一点的场景,有个应用A,他用了QQ的OAuth。
我用A的app id和app secret和我自己的QQ号授权拿到了我自己的access_token,发了一条腾讯微博,除了微博来源显示来自A,以及我消耗了A的api调用次数,究竟我还能做点什么坏事呢?
2015-02-10 17:15:39 +08:00
回复了 Agromania 创建的主题 问与答 请问 oauth 的 app secret 为啥要保密?
@wormcy 登录了以后可以获得个人信息,发的帖子,从帖子信息有可能可以分析出性格爱好,购物历史,工作,住址,键盘型号……
可以狂点“感谢回复者”……
可以发小广告使自己受益 并导致这个账号被封……
2015-02-10 13:30:47 +08:00
回复了 runking 创建的主题 问与答 公司不给签合同有什么猫腻?
不签合同怎么去社保局上的社保?楼主确定上了社保?
2015-02-10 11:03:54 +08:00
回复了 supman 创建的主题 问与答 "你最喜欢的算法"...这道题应该怎么答呢?
罗马花椰菜算法
2015-02-09 01:33:37 +08:00
回复了 virusdefender 创建的主题 分享发现 两张内容不一样但是 md5 一样的图片
抱歉,我忘记乘以71.3%了,不过,你懂的……
2015-02-09 01:32:28 +08:00
回复了 virusdefender 创建的主题 分享发现 两张内容不一样但是 md5 一样的图片
@love 差的太远了吧,无限到有限,理论上来说是一定会碰撞的,学过数学的极限的话应该知道

有限 / 无限 = 0
如果你把宇宙中所有原子md5,其状况是几乎一直在碰撞:因为早就塞满了。

简单算一下,32位的MD5有16^32个值,也就是3.4028236692094 * 10^38

太阳的质量是1.989×10^30 千克,其中71.3%是氢

一个氢原子的质量约为1.66×10^-27 千克
所以仅仅是太阳就有1.1981927710843 * 10^57 个氢原子,如果把这样氢原子散列在MD5的空间里,
那么平均每个md5值上需要塞


3.5211720840144 * 10^18 个氢原子。也就是说,没有碰撞的概率可以忽略不计。

小伙子,请对宇宙有敬畏之心。
2015-02-09 00:34:10 +08:00
回复了 msxcms 创建的主题 天黑以后 20150209 午夜俱乐部
写了两天代码,累累累
2015-02-09 00:29:46 +08:00
回复了 Agromania 创建的主题 问与答 请问有在用腾讯 404 公益页面的同学吗?有个小问题
@spacewander 谢谢!!
是这两行代码吗?

$scope.rettext = location.href.indexOf('qzone.qq.com') > -1 ? '返回我的空间': '返回腾讯网';
$scope.retlink = location.href.indexOf('qzone.qq.com') > -1 ? 'http://qzone.qq.com/': 'http://www.qq.com/';

很不理解他们去掉原来返回第三方的首页链接的心理啊……

如果一定要自己用js改页面链接,我觉得我干脆从他们这个js
http://qzone.qq.com/gy/404/data.js
里抓到走失儿童的数据,然后自己来做404页面得了~~
2015-02-09 00:21:08 +08:00
回复了 yellowV2ex 创建的主题 PHP 如何面试一个 PHP?
@yellowV2ex 真的看你要什么样的人。5000块你也能找到“既懂 PHP 又懂 html 还能看看 CSS 改个颜色字体位置什么的,还能 JS 写个浮动二级菜单什么的,可以做的了商城的人”

28000块你也能找到。

取决于你想把这个商城做到什么水平。既然你不是老板,还是问问看老板的预算和预期吧。
2015-02-09 00:16:09 +08:00
回复了 38220013 创建的主题 问与答 如果给你个机会重头再来换一个职业,大家打算做什么?
网络直播间女主播
说量子纠缠是“超光速”是不准确的,因为它根本没有速度,其纠缠一旦建立,状态的反应是“即刻”的
2015-02-06 15:16:21 +08:00
回复了 kingcos 创建的主题 问与答 怎么处理报废的笔记本电脑?=。=
我还有一个05年的Acer跑着xp.... 不知道该怎么处理
只有一条路:做得比他们更好。
2015-02-06 11:10:01 +08:00
回复了 lmaq 创建的主题 程序员 键盘、键盘大家都用的什么的啊?
文曲星PC220
1  2  3  4  5  6  7  8  9  10 ... 11  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2983 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 14:38 · PVG 22:38 · LAX 06:38 · JFK 09:38
Developed with CodeLauncher
♥ Do have faith in what you're doing.