这是布赖恩·史密斯-斯威尼，他负责两西格玛的信息安全风险。 他在2023年的黑帽大会上发表了演讲。 两年前的2021年，他意外发现了谷歌OAuth中的一个新漏洞。 他强调攻击向量并不限于谷歌。

@twosigma @BlackHatEvents 这与我发布的向量无关，除了它也是 oauth 这更简单，需要明确的同意，尽管是从一个第一方谷歌服务到另一个第一方谷歌服务 关键是，它不是谷歌 这是一个第三方冒充谷歌，并且成功了

"如果你告诉你的用户去寻找[对第三方应用的授权]，他们是找不到的"

@BlackHatEvents 在他对谷歌的 oauth 进行研究时，注意到了一些奇怪的字符串 他对其进行解码并搜索文档 文档中提到，谷歌的授权服务器应该返回授权码 *在浏览器的标题栏中*

@twosigma "我不知道你们中有多少人曾参与开发安全消息传递或凭证存储系统" "我不知道你们是否曾想过，我们应该把这个放在哪里？放在浏览器标题栏里" "事后诸葛亮，我开个玩笑很容易"

@BlackHatEvents 我很难相信，我确实亲自去看了。

这是真的

在他追踪到解码字符串后，他还发现它在一个邮件列表中被提及。 这篇帖子是许多 OAuth 规范的共同作者所写，包括 RFC 8252，即相关的 OAuth 规范。 他没有什么好话可说。

这个向量的耐用性与我发布的那个相差无几。 同样，在授权层中，oauth 令牌是在身份验证后使用的。 他也指出，在账户被攻破的情况下，密码重置完全没有效果。 传统的恢复机制通常也没有效果。

@BlackHatEvents 即使在 Google Workspaces 的更细粒度 API 机制中，他指出访问控制对第一方 Google 应用没有影响。 第一方 Google 应用是他的非 Google 应用出现的地方。

这基本上就是我所处的地方。

@BlackHatEvents 他同样警告 oauth 令牌 “那些东西永远存在”

我喜欢他结束的方式 他说，在两西格玛，我们重视学习和研究 然后他说，如果你问我一些事情或者告诉我一些事情，我们都能学到东西，我会给你一些两西格玛的周边产品 毫不奇怪，这是一副扑克牌