ConsentFix: OAuth-атака, которая работает слишком хорошо

info@vsetut.pro

Стать автором

Вернуться

08.02.2026 06:13:35 | Хабр

Хабы: Информационная безопасность

ConsentFix - это атака, при которой пользователь сам передаёт злоумышленнику код авторизации OAuth.

ConsentFix интересен тем, что это не эксплуатация бага и не 0day. Это UX-driven атака - атака на предположения модели безопасности OAuth о поведении пользователя. В сценариях с browser-based логином, localhost redirect и first-party приложениями пользователь внезапно оказывается частью trust boundary и может сам передать bearer token, не осознавая этого.

В статье разбирается:

• где именно в Authorization Code Flow возникает трещина,
• почему MFA и PKCE здесь не помогают,
• как выглядят такие атаки в реальности и в логах,
• и почему browser-first и identity-first архитектуры делают подобные сценарии всё более массовыми.

Подробнее

Читайте также

От статичной панорамы к интерактивной 3D-карте: создаём виртуальный тур на Pannellum
08.02.2026 05:16:13 | Хабр

Продвинутые RL алгоритмы: NPG, TRPO, PPO
08.02.2026 02:10:11 | Хабр

Что такое «стратегия ИБ», которую поймёт Бизнес
08.02.2026 01:33:59 | Хабр

AI для PHP-разработчиков. Часть 2: практическое использование TransformersPHP
07.02.2026 22:43:27 | Хабр

Уведомления от Claude Code в Telegram с Hooks
07.02.2026 22:29:06 | Хабр

Специальный режим в iPhone помешал ФБР получить доступ к данным журналиста
07.02.2026 20:27:32 | ferra.ru

Хранение и передача цифрового двойника между системами с отличающимся функционалом
07.02.2026 19:59:52 | Хабр

Прозрачный прокси для всей домашней сети на базе Xray: настройка за один вечер
07.02.2026 19:51:17 | Хабр

Механизм охлаждения воздуха внутри «Вихревой трубкой Ранка-Хилша» (ВТР)
07.02.2026 19:09:18 | Хабр

Ollama 0.15.5 новый релиз
07.02.2026 19:08:09 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04
07.02.2026 19:07:48 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04. Колбасный авиатор
07.02.2026 19:07:48 | Хабр

Кто такой бизнес-аналитик
07.02.2026 18:58:10 | Хабр

Отель Grand Emperor в Макао демонтировал золотые слитки из плитки на полу вестибюля, чтобы продать их на фоне рекордных котировок драгметалла
07.02.2026 18:40:23 | vc.ru

СМИ: Apple выпустит бюджетный MacBook дешевле некоторых iPhone
07.02.2026 18:27:33 | ferra.ru

Игра Сапёр на Unreal Engine > UMG > только C++ > Никаких Блупринтов
07.02.2026 17:41:18 | Хабр

SpaceX отложила планы по исследованию Марса ради лунной программы NASA — WSJ
07.02.2026 16:54:28 | vc.ru

Смартфон HONOR 600, похоже, обзаведется емкой батареей на 9000 мАч
07.02.2026 16:27:34 | ferra.ru

Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
07.02.2026 16:10:56 | Хабр

«Клешня» в логах: как ИИ-агенты строят свои мифы, пока мы дебажим бэкенд
07.02.2026 14:50:47 | Хабр

Элитный вайбкодинг
07.02.2026 14:43:39 | Хабр

День 1445: Росстат оценил рост российской экономики за 2025 год в 1%
07.02.2026 14:41:02 | vc.ru

Samsung поможет Qualcomm с охлаждением будущих флагманских процессоров
07.02.2026 14:27:36 | ferra.ru

Мониторинг рынка аренды Санкт-Петербург
07.02.2026 14:18:06 | Хабр

[Перевод] Учёные нашли непонятные «пузыри» в мантии Земли, регулирующие её магнитное поле
07.02.2026 14:08:15 | Хабр

Тайна HP iPaq HX4700. Что скрывал в себе легендарный КПК?
07.02.2026 14:05:13 | Хабр

Рынок авто: кредит, утильсбор и привычка к брендам
07.02.2026 13:56:19 | Хабр

Синтез речи 2026: топ-5 бесплатных нейросетей для озвучки текста
07.02.2026 13:50:52 | Хабр

Космическая аэродинамика. Аппараты «Космос-149» и «Космос-320»
07.02.2026 13:30:09 | Хабр

IT больше не проклято. Как я перестал бояться и начал любить AI разработку
07.02.2026 13:23:00 | Хабр

Cага о первичных чёрных дырах: призрак Стивена Хокинга и генезис невидимой Вселенной
07.02.2026 13:01:51 | Хабр

Генпрокуратура потребовала передать государству оператора системы бронирования авиабилетов Leonardo
07.02.2026 12:47:51 | vc.ru

Разбираемся с объектами в бизнес-архитектуре на примере языка ArchiMate
07.02.2026 12:46:49 | Хабр

Правда и мифы об эволюции. Дарвинизм против креационизма. Деконструкция разумного замысла
07.02.2026 12:45:31 | Хабр

СМИ: SpaceX Маска выпустит свой смартфон, работающий на спутниковой связи
07.02.2026 12:27:42 | ferra.ru

Смотреть все

НОВОСТИ

Вербное воскресенье в 2026 году: смысл и традиции православного праздника
13.04.2026 00:10:00 | Lenta.ru

Дмитриев: иранский кризис показал огромную слабость НАТО и ЕС
08.04.2026 05:50:15 | ТАСС

В Гаване второй день сложная ситуация со светом из-за аварий на двух ТЭЦ Кубы
08.04.2026 05:49:11 | ТАСС

Вице-губернатору Новосибирской области внесли представление из-за скорой помощи
08.04.2026 05:47:16 | ТАСС

В США неизвестное существо тяжело ранило женщину во дворе дома
08.04.2026 05:47:00 | Российская Газета

Не инвестиции, а папины деньги: Отец Toxis ищет нефть и алмазы в Африке
08.04.2026 05:45:00 | Life.ru

Исследование выявило рост числа резюме школьников на треть за два года
08.04.2026 05:44:22 | ТАСС

Раскрыты подробности согласования двухнедельного прекращения огня между США и Ираном
08.04.2026 05:44:17 | Lenta.ru

В Иране раскрыли подробности компенсации ущерба Исламской Республике
08.04.2026 05:43:45 | Lenta.ru

"Известия": туристы отменили четверть купленных туров в Дагестан
08.04.2026 05:42:24 | ТАСС

Иран решил взимать плату за проход через Ормузский пролив во время перемирия
08.04.2026 05:41:05 | Lenta.ru

Посол России в Сеуле высказался о возвращении Hyundai, LG и Samsung
08.04.2026 05:37:13 | Lenta.ru

Корейский гигант лапши Nongshim открывает филиал в России
08.04.2026 05:36:00 | Life.ru

Военные Балтфлота оттачивают боевые навыки по борьбе с чужими дронами
08.04.2026 05:35:28 | ТАСС

Ядров: учебные заведения Росавиации возобновили эксплуатацию самолетов Diamond DA40
08.04.2026 05:33:52 | ТАСС

Учебные заведения Росавиации возобновили эксплуатацию самолетов Diamond DA40
08.04.2026 05:33:52 | ТАСС

Диетолог Бурляева рассказала, сколько яиц в день можно есть детям
08.04.2026 05:33:29 | ТАСС

Названы проблемы популярного в России кроссовера Li Auto
08.04.2026 05:31:05 | Lenta.ru

Россиян предупредили об усилении псевдоаллергии весной
08.04.2026 05:30:53 | Lenta.ru

Россиянка описала Шри-Ланку фразой «нервов не хватит, чтобы пользоваться интернетом»
08.04.2026 05:30:21 | Lenta.ru

Эксперт Пагани опроверг теорию о паводках в Дагестане из-за разгона облаков
08.04.2026 05:27:29 | ТАСС

В Орске гребень дамбы намерены поднять на 2-4 м
08.04.2026 05:26:35 | ТАСС

Эксперт Эдлииб назвал блефом теорию о разгоне облаков над Ираном
08.04.2026 05:26:24 | ТАСС

Радикальные группировки в Ираке объявили о прекращении операций на две недели
08.04.2026 05:25:11 | ТАСС

Синоптик Макарова: в Москве в ночь на 9 апреля выпадет снег
08.04.2026 05:23:51 | ТАСС

Захарова спросила Гутериша о двойных стандартах ООН после слов об Иране
08.04.2026 05:18:00 | Life.ru

Марочко рассказал о продвижении ВС России в Харьковской области
08.04.2026 05:17:13 | Lenta.ru

Посол РФ: Республика Корея нарастила импорт российского алюминия
08.04.2026 05:16:55 | ТАСС

Комбриг "Пятнашки": Киев больше всего вербует наемников из Колумбии
08.04.2026 05:16:35 | ТАСС

The Times of Israel: в Израиле при ударе боеприпаса пострадали подростки
08.04.2026 05:16:30 | ТАСС

Эксперт Раилко: если Усольцевы стали жертвами браконьеров, их тела вряд ли найдут
08.04.2026 05:15:00 | ТАСС

Эксперт Раилко: семья Усольцевых могла стать жертвой браконьеров
08.04.2026 05:15:00 | ТАСС

Депутаты от КПРФ предлагают сделать премию им. Гагарина ежегодной
08.04.2026 05:14:27 | ТАСС

WP: министр Сухопутных войск США Дрисколл исключил уход в отставку
08.04.2026 05:10:12 | ТАСС

WP: министр Сухопутных войск США исключил уход в отставку
08.04.2026 05:10:12 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro