ConsentFix: OAuth-атака, которая работает слишком хорошо

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

ConsentFix: OAuth-атака, которая работает слишком хорошо

08.02.2026 06:13:35 | Хабр

Хабы: Информационная безопасность

ConsentFix - это атака, при которой пользователь сам передаёт злоумышленнику код авторизации OAuth.

ConsentFix интересен тем, что это не эксплуатация бага и не 0day. Это UX-driven атака - атака на предположения модели безопасности OAuth о поведении пользователя. В сценариях с browser-based логином, localhost redirect и first-party приложениями пользователь внезапно оказывается частью trust boundary и может сам передать bearer token, не осознавая этого.

В статье разбирается:

• где именно в Authorization Code Flow возникает трещина,
• почему MFA и PKCE здесь не помогают,
• как выглядят такие атаки в реальности и в логах,
• и почему browser-first и identity-first архитектуры делают подобные сценарии всё более массовыми.

Читать далее

Подробнее

Читайте также

От статичной панорамы к интерактивной 3D-карте: создаём виртуальный тур на Pannellum
08.02.2026 05:16:13 | Хабр

Продвинутые RL алгоритмы: NPG, TRPO, PPO
08.02.2026 02:10:11 | Хабр

Что такое «стратегия ИБ», которую поймёт Бизнес
08.02.2026 01:33:59 | Хабр

AI для PHP-разработчиков. Часть 2: практическое использование TransformersPHP
07.02.2026 22:43:27 | Хабр

Уведомления от Claude Code в Telegram с Hooks
07.02.2026 22:29:06 | Хабр

Специальный режим в iPhone помешал ФБР получить доступ к данным журналиста
07.02.2026 20:27:32 | ferra.ru

Хранение и передача цифрового двойника между системами с отличающимся функционалом
07.02.2026 19:59:52 | Хабр

Прозрачный прокси для всей домашней сети на базе Xray: настройка за один вечер
07.02.2026 19:51:17 | Хабр

Механизм охлаждения воздуха внутри «Вихревой трубкой Ранка-Хилша» (ВТР)
07.02.2026 19:09:18 | Хабр

Ollama 0.15.5 новый релиз
07.02.2026 19:08:09 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04
07.02.2026 19:07:48 | Хабр

Как мы продавали компьютеры в 90-х. Часть #04. Колбасный авиатор
07.02.2026 19:07:48 | Хабр

Кто такой бизнес-аналитик
07.02.2026 18:58:10 | Хабр

Отель Grand Emperor в Макао демонтировал золотые слитки из плитки на полу вестибюля, чтобы продать их на фоне рекордных котировок драгметалла
07.02.2026 18:40:23 | vc.ru

СМИ: Apple выпустит бюджетный MacBook дешевле некоторых iPhone
07.02.2026 18:27:33 | ferra.ru

Игра Сапёр на Unreal Engine > UMG > только C++ > Никаких Блупринтов
07.02.2026 17:41:18 | Хабр

SpaceX отложила планы по исследованию Марса ради лунной программы NASA — WSJ
07.02.2026 16:54:28 | vc.ru

Смартфон HONOR 600, похоже, обзаведется емкой батареей на 9000 мАч
07.02.2026 16:27:34 | ferra.ru

Первый месяц в Bug Bounty: итоги, цифры и выученные уроки
07.02.2026 16:10:56 | Хабр

«Клешня» в логах: как ИИ-агенты строят свои мифы, пока мы дебажим бэкенд
07.02.2026 14:50:47 | Хабр

Элитный вайбкодинг
07.02.2026 14:43:39 | Хабр

День 1445: Росстат оценил рост российской экономики за 2025 год в 1%
07.02.2026 14:41:02 | vc.ru

Samsung поможет Qualcomm с охлаждением будущих флагманских процессоров
07.02.2026 14:27:36 | ferra.ru

Мониторинг рынка аренды Санкт-Петербург
07.02.2026 14:18:06 | Хабр

[Перевод] Учёные нашли непонятные «пузыри» в мантии Земли, регулирующие её магнитное поле
07.02.2026 14:08:15 | Хабр

Тайна HP iPaq HX4700. Что скрывал в себе легендарный КПК?
07.02.2026 14:05:13 | Хабр

Рынок авто: кредит, утильсбор и привычка к брендам
07.02.2026 13:56:19 | Хабр

Синтез речи 2026: топ-5 бесплатных нейросетей для озвучки текста
07.02.2026 13:50:52 | Хабр

Космическая аэродинамика. Аппараты «Космос-149» и «Космос-320»
07.02.2026 13:30:09 | Хабр

IT больше не проклято. Как я перестал бояться и начал любить AI разработку
07.02.2026 13:23:00 | Хабр

Cага о первичных чёрных дырах: призрак Стивена Хокинга и генезис невидимой Вселенной
07.02.2026 13:01:51 | Хабр

Генпрокуратура потребовала передать государству оператора системы бронирования авиабилетов Leonardo
07.02.2026 12:47:51 | vc.ru

Разбираемся с объектами в бизнес-архитектуре на примере языка ArchiMate
07.02.2026 12:46:49 | Хабр

Правда и мифы об эволюции. Дарвинизм против креационизма. Деконструкция разумного замысла
07.02.2026 12:45:31 | Хабр

СМИ: SpaceX Маска выпустит свой смартфон, работающий на спутниковой связи
07.02.2026 12:27:42 | ferra.ru

Смотреть все

НОВОСТИ

Politico: Трамп раскритиковал Рютте на встрече в Белом доме
10.04.2026 09:02:08 | ТАСС

Сразу девять российских актёров попали в базу «Миротворца»* следом за Калюжным
10.04.2026 09:00:23 | Life.ru

В Раде заявили, что Киев хочет по угрозой применения оружия загонять людей в армию
10.04.2026 09:00:05 | ТАСС

МЧС связало гибель туристов на Камчатке с игнорированием мер безопасности
10.04.2026 08:59:21 | РБК

Смертельный маршрут: что известно о погибших на Камчатке туристах Горного университета
10.04.2026 08:58:16 | Life.ru

Губернатор рассказал о последствиях атаки БПЛА на Волгоградскую область
10.04.2026 08:57:32 | РБК

Умер заслуженный тренер России по конькобежному спорту Юрий Петров
10.04.2026 08:57:16 | ТАСС

Трамп дал совет венграм перед выборами
10.04.2026 08:57:00 | Lenta.ru

Племянник бывшего российского чиновника выкинул из окна гостя на свадьбе
10.04.2026 08:56:50 | Lenta.ru

Politico: ЕК хочет лишить Сербию до €1,5 млрд финансирования за отношения с РФ
10.04.2026 08:56:47 | ТАСС

Посольство США в Бахрейне разрешило американцам покинуть укрытия
10.04.2026 08:56:27 | ТАСС

Российский чиновник захотел получить взятку и попался ФСБ
10.04.2026 08:55:54 | Lenta.ru

США призвали Ирак привлечь к ответственности осаждавших консульство Кувейта
10.04.2026 08:55:03 | ТАСС

Politico: Ближний Восток станет главной темой неформального саммита ЕС на Кипре
10.04.2026 08:53:41 | ТАСС

Россиян предупредили об опасности одного типа обуви
10.04.2026 08:53:31 | Lenta.ru

ВСУ атаковали Брянскую область ракетами «Нептун», есть разрушения и пострадавшая
10.04.2026 08:53:25 | Life.ru

Xiaomi представила мощный робот-пылесос с влажной уборкой и валиком вместо вращающихся насадок Xiaomi Robot Vacuum and Mop 6
10.04.2026 08:53:00 | iXBT.com

Лариса Долина посвятит песню тем, кто ее поддержал
10.04.2026 08:52:42 | ТАСС

ВСУ ночью атаковали энергетические объекты Запорожской области
10.04.2026 08:52:28 | ТАСС

В Волгоградской области при ударе дронов ВСУ загорелась емкость с нефтепродуктами
10.04.2026 08:52:11 | Коммерсантъ

Депутат Казакова не считает нужным распространять закон о ценностях на театры
10.04.2026 08:50:05 | ТАСС

Трутнев: в Приморье к 2031 году спрос на электроэнергию вырастет на 27%
10.04.2026 08:49:16 | ТАСС

Режиссер Угольников: вопрос возрождения Госкино зависит от механизма его работы
10.04.2026 08:49:03 | ТАСС

Мобилизованных в ВСУ "сдают в аренду" сельскохозяйственным предприятиям
10.04.2026 08:49:00 | Российская Газета

Представлен первый портативный безлопастной вентилятор Dyson
10.04.2026 08:49:00 | iXBT.com

Магнитные бури накроют Землю на выходных
10.04.2026 08:47:00 | iXBT.com

В Подмосковье увеличили штрафы за неоплату парковок для юрилиц и должностных лиц
10.04.2026 08:46:54 | ТАСС

В Волгоградской области после атаки БПЛА вспыхнул резервуар с нефтепродуктами
10.04.2026 08:45:28 | Life.ru

ВСУ ударили ракетами "Нептун" по Брянской области
10.04.2026 08:45:09 | ТАСС

ЦБ отозвал лицензию у «Банка РМП»
10.04.2026 08:45:01 | Коммерсантъ

В Саратове до 15 июля достроят новую набережную Волги
10.04.2026 08:44:24 | ТАСС

АСВ: страховая ответственность "Банка РМП" оценивается в 120,9 млн рублей
10.04.2026 08:44:19 | ТАСС

АСВ оценило страховую ответственность "Банка РМП" в 120,9 млн рублей
10.04.2026 08:44:19 | ТАСС

Умер рэпер Afrika Bambaataa
10.04.2026 08:43:33 | ТАСС

Центробанк отозвал лицензию у второго с начала года банка
10.04.2026 08:43:02 | РБК

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro