ConsentFix: OAuth-атака, которая работает слишком хорошо

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

ConsentFix: OAuth-атака, которая работает слишком хорошо

08.02.2026 06:13:35 | Хабр

Хабы: Информационная безопасность

ConsentFix - это атака, при которой пользователь сам передаёт злоумышленнику код авторизации OAuth.

ConsentFix интересен тем, что это не эксплуатация бага и не 0day. Это UX-driven атака - атака на предположения модели безопасности OAuth о поведении пользователя. В сценариях с browser-based логином, localhost redirect и first-party приложениями пользователь внезапно оказывается частью trust boundary и может сам передать bearer token, не осознавая этого.

В статье разбирается:

• где именно в Authorization Code Flow возникает трещина,
• почему MFA и PKCE здесь не помогают,
• как выглядят такие атаки в реальности и в логах,
• и почему browser-first и identity-first архитектуры делают подобные сценарии всё более массовыми.

Читать далее

Подробнее

Читайте также

От статичной панорамы к интерактивной 3D-карте: создаём виртуальный тур на Pannellum
08.02.2026 05:16:13 | Хабр

Продвинутые RL алгоритмы: NPG, TRPO, PPO
08.02.2026 02:10:11 | Хабр

Что такое «стратегия ИБ», которую поймёт Бизнес
08.02.2026 01:33:59 | Хабр

AI для PHP-разработчиков. Часть 2: практическое использование TransformersPHP
07.02.2026 22:43:27 | Хабр

Уведомления от Claude Code в Telegram с Hooks
07.02.2026 22:29:06 | Хабр

Специальный режим в iPhone помешал ФБР получить доступ к данным журналиста
07.02.2026 20:27:32 | ferra.ru

Хранение и передача цифрового двойника между системами с отличающимся функционалом
07.02.2026 19:59:52 | Хабр

Прозрачный прокси для всей домашней сети на базе Xray: настройка за один вечер
07.02.2026 19:51:17 | Хабр

Механизм охлаждения воздуха внутри «Вихревой трубкой Ранка-Хилша» (ВТР)
07.02.2026 19:09:18 | Хабр

Ollama 0.15.5 новый релиз
07.02.2026 19:08:09 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04
07.02.2026 19:07:48 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04. Колбасный авиатор
07.02.2026 19:07:48 | Хабр

Кто такой бизнес-аналитик
07.02.2026 18:58:10 | Хабр

Отель Grand Emperor в Макао демонтировал золотые слитки из плитки на полу вестибюля, чтобы продать их на фоне рекордных котировок драгметалла
07.02.2026 18:40:23 | vc.ru

СМИ: Apple выпустит бюджетный MacBook дешевле некоторых iPhone
07.02.2026 18:27:33 | ferra.ru

Игра Сапёр на Unreal Engine > UMG > только C++ > Никаких Блупринтов
07.02.2026 17:41:18 | Хабр

SpaceX отложила планы по исследованию Марса ради лунной программы NASA — WSJ
07.02.2026 16:54:28 | vc.ru

Смартфон HONOR 600, похоже, обзаведется емкой батареей на 9000 мАч
07.02.2026 16:27:34 | ferra.ru

Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
07.02.2026 16:10:56 | Хабр

«Клешня» в логах: как ИИ-агенты строят свои мифы, пока мы дебажим бэкенд
07.02.2026 14:50:47 | Хабр

Элитный вайбкодинг
07.02.2026 14:43:39 | Хабр

День 1445: Росстат оценил рост российской экономики за 2025 год в 1%
07.02.2026 14:41:02 | vc.ru

Samsung поможет Qualcomm с охлаждением будущих флагманских процессоров
07.02.2026 14:27:36 | ferra.ru

Мониторинг рынка аренды Санкт-Петербург
07.02.2026 14:18:06 | Хабр

[Перевод] Учёные нашли непонятные «пузыри» в мантии Земли, регулирующие её магнитное поле
07.02.2026 14:08:15 | Хабр

Тайна HP iPaq HX4700. Что скрывал в себе легендарный КПК?
07.02.2026 14:05:13 | Хабр

Рынок авто: кредит, утильсбор и привычка к брендам
07.02.2026 13:56:19 | Хабр

Синтез речи 2026: топ-5 бесплатных нейросетей для озвучки текста
07.02.2026 13:50:52 | Хабр

Космическая аэродинамика. Аппараты «Космос-149» и «Космос-320»
07.02.2026 13:30:09 | Хабр

IT больше не проклято. Как я перестал бояться и начал любить AI разработку
07.02.2026 13:23:00 | Хабр

Cага о первичных чёрных дырах: призрак Стивена Хокинга и генезис невидимой Вселенной
07.02.2026 13:01:51 | Хабр

Генпрокуратура потребовала передать государству оператора системы бронирования авиабилетов Leonardo
07.02.2026 12:47:51 | vc.ru

Разбираемся с объектами в бизнес-архитектуре на примере языка ArchiMate
07.02.2026 12:46:49 | Хабр

Правда и мифы об эволюции. Дарвинизм против креационизма. Деконструкция разумного замысла
07.02.2026 12:45:31 | Хабр

СМИ: SpaceX Маска выпустит свой смартфон, работающий на спутниковой связи
07.02.2026 12:27:42 | ferra.ru

Смотреть все

НОВОСТИ

Почта "СОЮЗа": Когда планируются авиарейсы из Петрозаводска в Минск?
12.02.2026 17:16:00 | Российская Газета

Задержан замгубернатора Челябинской области Андрей Фалейчик
12.02.2026 07:18:14 | Коммерсантъ

Задержан замгубернатора Челябинской области
12.02.2026 07:17:49 | Коммерсантъ

Опрошенные мужчины закладывают более высокий бюджет на подарок к 14 февраля
12.02.2026 07:16:57 | ТАСС

В новой конституции Казахстана хотят оставить один срок для президента на 7 лет
12.02.2026 07:15:04 | ТАСС

В новой конституции Казахстана закрепили официальный статус русского языка
12.02.2026 07:14:32 | ТАСС

Один человек погиб при взрыве газового баллона в гараже в Тюмени
12.02.2026 07:14:09 | РЕН ТВ

Два человека пострадали в ДТП с участием маршрутного автобуса в Улан-Удэ
12.02.2026 07:14:08 | ТАСС

Задержан заместитель губернатора Челябинской области
12.02.2026 07:13:00 | ТАСС

Вице-президента Казахстана по новой конституции должны назначить в течение двух месяцев
12.02.2026 07:09:29 | ТАСС

Технологии углеродной нейтральности для всех регионов РФ разрабатывают в Мелитополе
12.02.2026 07:08:29 | ТАСС

Выборы в однопалатный парламент Казахстана по новой конституции могут объявить в июле
12.02.2026 07:08:28 | ТАСС

Над Воронежской областью ночью уничтожили 19 украинских БПЛА
12.02.2026 07:06:59 | ТАСС

Лидера Словакии упрекнули в планах помешать референдуму об отмене санкций против России
12.02.2026 07:05:50 | Lenta.ru

"Х5 клуб": более 40% россиян не покупают продукт из-за длинного состава
12.02.2026 07:05:35 | ТАСС

Более 60% опрошенных россиян готовы протестировать беспилотный транспорт
12.02.2026 07:04:22 | ТАСС

Расчёт «Ланцет» уничтожил самоходку ВСУ Caesar в Запорожской области
12.02.2026 07:04:19 | Life.ru

На ВДНХ в День влюбленных колесо обозрения подсветят красно-розовым цветом
12.02.2026 07:03:28 | ТАСС

Эксперт Степанов: тур "Арсенал свободы" призван развивать конкуренцию в космосе
12.02.2026 07:03:21 | ТАСС

Сериал "Владимир" с Рэйчел Вайс получил первый трейлер
12.02.2026 07:03:12 | PlayGround.ru

Руководитель редакции "Наука" ТАСС вошел в комиссию РАН по популяризации науки
12.02.2026 07:02:21 | ТАСС

Объект Минобороны загорелся после атаки БПЛА в Волгоградской области
12.02.2026 07:01:42 | РЕН ТВ

Бывший глава Google в 70 лет завел любовницу на 43 года младше себя
12.02.2026 07:00:15 | Lenta.ru

Испугавшейся размеров пениса нового бойфренда девушке дали советы
12.02.2026 07:00:13 | Lenta.ru

Amazon показала трейлер детективного сериала "Скарпетта" с Николь Кидман - премьера состоится 11 марта
12.02.2026 07:00:01 | PlayGround.ru

Самые вредные животные: ученые сделали сенсационное открытие о коровах
12.02.2026 07:00:00 | РЕН ТВ

Последние дни Змеи изведут хуже ретроградного Меркурия: Почему перед китайским Новым годом плохо всем
12.02.2026 07:00:00 | Life.ru

В Казахстане опубликовали текст новой конституции, по которой пройдет референдум
12.02.2026 06:59:50 | ТАСС

В Казахстане опубликовали текст новой конституции
12.02.2026 06:59:50 | ТАСС

Трамп соберет разведку из-за тревожных сигналов
12.02.2026 06:59:29 | Lenta.ru

В Тюмени после взрыва баллона в гараже погиб человек
12.02.2026 06:58:37 | ТАСС

Южная группировка за сутки уничтожила терминал Starlink и 28 блиндажей ВСУ
12.02.2026 06:56:50 | Life.ru

В Хабаровском крае отловленного у села Найхин тигра вернули в природу
12.02.2026 06:56:04 | ТАСС

Затягивание выборов на Украине может ухудшить положение Зеленского
12.02.2026 06:53:56 | Life.ru

Угрозу атаки БПЛА отменили в Ахтубинске в Астраханской области
12.02.2026 06:52:05 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro