這是布萊恩·史密斯-斯威尼，他負責兩西格瑪的資訊安全風險 他在2023年的黑帽大會上發表了演講 兩年前的2021年，他意外地發現了谷歌OAuth的一個新漏洞 他強調攻擊向量不僅限於谷歌

@twosigma @BlackHatEvents 這與我發佈的向量無關，除了它也是 oauth 這更簡單，需要明確的同意，儘管是從一個第一方的 Google 服務到另一個第一方的 Google 服務 關鍵是，它不是 Google 而是一個第三方冒充 Google，並且成功了

"如果你告訴你的用戶去尋找 [對第三方應用的授權]，他們是找不到的"

@BlackHatEvents 在他對 Google 的 OAuth 研究中，他注意到一些奇怪的字串 他解碼它並搜索文檔 它說，Google 的授權伺服器應該返回授權碼 *在瀏覽器的標題欄中*

@twosigma "我不知道你們中有多少人曾經參與過開發安全的消息傳遞或憑證存儲系統" "我不知道你們是否曾經想過，我們應該把這放在哪裡？放在瀏覽器的標題欄中" "事後諸葛亮，對我來說開玩笑是很容易的"

@BlackHatEvents 我很難相信，我確實去自己查看了。

這是真的

在他追蹤到解碼的字串後，他也發現它在一個郵件列表中被提及。 這篇文章是由許多 OAuth 規範的共同作者發表的，包括 RFC 8252，即該問題的 OAuth 規範。 他沒有什麼好話可說。

這個向量的耐用性與我發佈的那個相似 再次強調，在授權層中，oauth 令牌是在身份驗證後的 他也指出，在帳戶被盜的情況下，重設密碼完全沒有任何效果 傳統的恢復機制通常也無效

@BlackHatEvents 即使在 Google Workspaces 的更細粒度 API 機制中，他指出訪問控制不會影響第一方 Google 應用程式 第一方 Google 應用程式是他的非 Google 應用程式出現的地方

這幾乎就是我所達到的結論。

@BlackHatEvents 他同樣警告 oauth 令牌 "那些東西會永遠存在"

我喜歡他結尾的方式 他說，在兩個西格瑪，我們重視學習和研究 然後他說，如果你問我一些事情或告訴我一些事情，無論我們是否學到任何東西，我會給你一些兩個西格瑪的周邊商品 不出所料，這是一副撲克牌