[Перевод] «От входа через OAuth до захвата вашего аккаунта» – десктопная версия приложения

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] «От входа через OAuth до захвата вашего аккаунта» – десктопная версия приложения

11.12.2025 07:54:49 | Хабр

Хабы: Информационная безопасность, Bug hunters

Один клик по вредоносной ссылке — и контроль над аккаунтом потерян. Без фишинга, без вредоносного ПО.

Я обнаружил уязвимость в механизме OAuth аутентификации популярного десктоп-приложения, позволяющую похитить учетную запись любого пользователя всего в один клик. Основные причины проблемы: отсутствие проверки состояния (state validation), хранение долгоживущих токенов после перенаправления (loopback redirect) и слепое доверие параметру remote_key. В данном посте я подробно расскажу обо всех этапах атаки, почему она сработала настолько эффективно, и каким образом разработчики могут устранить данную проблему.

Несколько месяцев назад я решил заняться поиском уязвимостей в десктоп-приложениях. Для ясности поясню: говоря о поиске ошибок в десктоп-программах, я имею в виду взаимодействие приложений с веб-сервисами (процесс аутентификации, обмен данными или любые точки интеграции). Целью моего исследования стала известная компания, и я не вправе раскрывать ее название, поэтому на протяжении всей статьи буду использовать redacted.com.

Читать далее

Подробнее

Читайте также

Резкий рост цен на память сделала классическую DRAM выгоднее, чем высокотехнологичная HBM
11.12.2025 07:50:26 | ferra.ru

Нейробиология рынка: Почему наш мозг торгует лучше нас, а ИИ слишком скучен для биржи
11.12.2025 07:45:47 | Хабр

Хакеры научились обманывать ИИ, заставляя его выдавать номера мошенников вместо настоящей техподдержки
11.12.2025 07:43:25 | ferra.ru

Видеокарта AMD 13-летней давности оказалась способна запускать современные игры с играбельным fps
11.12.2025 07:36:25 | ferra.ru

Для Windows 11 вышло обновление, исправившее проблемы с играми и улучшившее интерфейс системы
11.12.2025 07:29:25 | ferra.ru

В сеть слили редкий прототип RTX 3080 с 20 ГБ видеопамяти
11.12.2025 07:22:24 | ferra.ru

Интеграция 1С в личный кабинет и ERP-систему
11.12.2025 07:19:51 | Хабр

Кому на заводе работать хорошо: результаты опроса хабравчан о карьере в Heavy Digital
11.12.2025 07:19:38 | Хабр

Лучшие нейросети для учебы: Как ИИ помогают с уроками школьникам и студентам
11.12.2025 07:16:54 | Хабр

Неоплачиваемая стажировка в дизайне: что ожидать, чего — нет, и что важно обговорить заранее
11.12.2025 07:15:54 | Хабр

Эксперты раскрыли, какая именно оперативная память дорожает быстрее всего
11.12.2025 07:15:24 | ferra.ru

Samsung оставит устаревшую камеру в грядущем Galaxy S26 — во всем виноват iPhone 17
11.12.2025 07:01:23 | ferra.ru

От беспроводных экспериментов к стабильной системе: год с умным домом
11.12.2025 07:00:44 | Хабр

Infinite Loop: Почему перфекционизм — это не «стремление к качеству», а ошибка в условии выхода while(true)
11.12.2025 07:00:43 | Хабр

Как подготовиться к собеседованию на системного аналитика. ЧАСТЬ 1: Как сделать резюме
11.12.2025 07:00:41 | Хабр

Цифровой рубль: новая глава в истории денег. Объясняем, как он работает и что им можно будет оплатить
11.12.2025 06:36:25 | Хабр

Внутри игольного ушка
11.12.2025 06:29:24 | Хабр

Оптимизация пагинации в PostgreSQL: Как настройка work_mem превратила ROW_NUMBER в лидера производительности
11.12.2025 06:17:57 | Хабр

Больше никаких велосипедов: готовый Spring Boot Starter для Telegram-ботов
11.12.2025 06:16:14 | Хабр

Elasticsearch: реляционная база данных против поискового движка — Битва Титанов
11.12.2025 06:16:09 | Хабр

Как я взломал фундаментальные физические константы и ядерную физику
11.12.2025 06:11:18 | Хабр

Кому‑чего-куда‑зачем: бесподрывный коммутатор “Ивента БВК44”
11.12.2025 06:07:25 | Хабр

Как 5 простых действий в 4 раза увеличили продажи загородной недвижимости — неочевидные лайфхаки рекламы в Яндекс Директ
11.12.2025 06:00:06 | Хабр

Главная проблема использования ИИ (Иллюзии Интеллекта) при разработке ПО
11.12.2025 05:52:25 | Хабр

Как устроен нетворкинг в американских банках и что из этого можно перенести в российские финансы и финтех
11.12.2025 05:41:01 | Хабр

User Journey Map на практике: как из карты пути пользователя рождаются ключевые фичи
11.12.2025 05:30:58 | Хабр

Киберпиратство XXI века: Нелегальные клоны нейросетей и как с ними борются
11.12.2025 05:30:55 | Хабр

Как я потерял деньги, когда уехал из России. История айтишника про налоги и крипту
11.12.2025 04:40:46 | Хабр

Как я тв-шоу переводил с помощью ML-моделей без подписок и СМС
11.12.2025 04:37:38 | Хабр

Как данные о поведении сотрудников помогают собирать команды, которые не разваливаются
11.12.2025 03:16:32 | Хабр

ERC-3643 vs ERC-1400: архитектурные решения для security tokens
11.12.2025 00:17:41 | Хабр

Доказано: освещение сильно влияет на восприятие музыки
10.12.2025 23:15:53 | ferra.ru

Компактный флагман OnePlus 15T получит впечатляющую батарею на 7500 мАч
10.12.2025 22:30:13 | ferra.ru

Учёные обнаружили, что 76% населения Земли недополучают омега-3
10.12.2025 22:30:08 | ferra.ru

Французский суд наложил арест на 100% акций Google France по заявлению российского ООО «Гугл»
10.12.2025 21:54:49 | vc.ru

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Российские бойцы освободили Лиман Харьковской области
11.12.2025 12:17:24 | РЕН ТВ

Стала известна предварительная причина взрыва в Пермском политехе
11.12.2025 12:14:02 | Lenta.ru

В России отреагировали на планы США выделить средства для помощи Украине
11.12.2025 12:13:44 | Lenta.ru

Европу уличили во внушении себе «какой-то чепухи» о России
11.12.2025 12:13:34 | Lenta.ru

Лавров раскрыл главный итог встречи Путина и Уиткоффа
11.12.2025 12:12:57 | Lenta.ru

В России указали на новый аргумент против передачи Киеву замороженных активов
11.12.2025 12:12:23 | Lenta.ru

Россия резко нарастила экспорт сала
11.12.2025 12:12:00 | Lenta.ru

Около 400 млн рублей направят на поддержку промышленных предприятий трех регионов
11.12.2025 12:11:41 | ТАСС

На Украине приложение "Резерв+" стало обязательным для всех военнообязанных
11.12.2025 12:11:24 | ТАСС

ВС России освободили Лиман в Харьковской области
11.12.2025 12:10:00 | Российская Газета

Президент Беларуси принял главу Следственного комитета России
11.12.2025 12:10:00 | Российская Газета

Российские войска взяли под контроль населенный пункт в Харьковской области
11.12.2025 12:10:00 | Lenta.ru

Лавров: РФ приветствует усилия меньшинства на Западе по поддержке украинских переговоров
11.12.2025 12:09:59 | ТАСС

EUObserver: лидеры ЕС намерены выступить против улучшения отношений США и РФ
11.12.2025 12:09:51 | ТАСС

Российские средства ПВО сбили за сутки 396 беспилотников самолетного типа ВСУ
11.12.2025 12:09:42 | ТАСС

США хотят создать самую «передовую буферную зону» на Украине
11.12.2025 12:09:41 | Life.ru

Генпрокуратура: ущерб СССР в годы ВОВ составил 257 трлн рублей
11.12.2025 12:09:28 | ТАСС

В ВСУ рассказали о неуклонном продвижении российских войск на покровском направлении
11.12.2025 12:09:26 | Lenta.ru

ВСУ потеряли от действий российских подразделений порядка 1 180 солдат за сутки
11.12.2025 12:09:21 | ТАСС

«Мы с братьями обманщики»: Сергей Сафронов шокировал заявлением о своих трюках
11.12.2025 12:09:17 | Life.ru

Два самолета прервали посадку за секунды до приземления и попали на видео
11.12.2025 12:09:14 | Lenta.ru

Силы Черноморского флота уничтожили в Черном море безэкипажный катер ВСУ
11.12.2025 12:09:11 | ТАСС

ВС РФ поразили объекты энергетики и топливного комплекса, используемые в интересах ВСУ
11.12.2025 12:08:59 | ТАСС

Орбан: в США признают, что разрыв связей с Россией стал ошибкой Европы
11.12.2025 12:08:52 | ТАСС

Андрей Черкасин признался в организации нападения на Ирину Шевыреву
11.12.2025 12:08:41 | Коммерсантъ

Число пострадавших при разгерметизации стенда в пермском вузе выросло до четырех
11.12.2025 12:08:40 | ТАСС

Лавров: Потери ВСУ давно перевалили за миллион солдат и продолжают расти
11.12.2025 12:08:35 | Life.ru

ВС РФ освободили Лиман в Харьковской области
11.12.2025 12:08:21 | ТАСС

Россиянам напомнили о наказании за парковку на заснеженном газоне
11.12.2025 12:08:12 | Lenta.ru

Против экс-вокалиста «Тараканов» иноагента Спирина возбудят уголовное дело // Прокуратура Москвы инициировала уголовное преследовние против иноагента Спирина
11.12.2025 12:08:06 | Коммерсантъ

В Калининградском аэропорту задерживаются 20 рейсов
11.12.2025 12:07:49 | ТАСС

Российский лыжник раскрыл отношение норвежского соперника к его возвращению на турниры
11.12.2025 12:07:38 | Lenta.ru

Лавров: сводить обязательства Украины лишь к правилам ЕС неприемлемо
11.12.2025 12:07:25 | ТАСС

Лавров: Запад не отреагировал на решение Украины приостановить переговоры с РФ
11.12.2025 12:06:48 | ТАСС

Лавров высказался о выживании Зеленского
11.12.2025 12:06:21 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro