Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/wix/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Azure ad b2c 在Azure AD B2C中使用状态参数易受打开重定向漏洞影响?_Azure Ad B2c - Fatal编程技术网
Fatal编程技术网
  • azure-ad-b2c/
  • Azure ad b2c 在Azure AD B2C中使用状态参数易受打开重定向漏洞影响?

Azure ad b2c 在Azure AD B2C中使用状态参数易受打开重定向漏洞影响?

azure-ad-b2c

Azure ad b2c 在Azure AD B2C中使用状态参数易受打开重定向漏洞影响?,azure-ad-b2c,Azure Ad B2c,如果我使用State参数来控制RedirectURI,如下所述:,我是否会受到影响 我不是刚把问题从RedirectURI转移到State参数吗?State参数可用于在再次启动应用程序后控制重定向。令牌将只进入一个位置(由重定向URL指定)。之后,应用程序将安全地控制令牌,并可以查看状态参数以确定用户/令牌是否应前往其他地方。这在各种情况下都很有用,比如你正在创建一个基于新闻的应用程序,你需要知道他们试图从哪篇文章登录。然后,他们将被重定向回同一篇文章,以便继续阅读 状态参数是不透明的,应用程序

如果我使用
State
参数来控制
RedirectURI
,如下所述:,我是否会受到影响

我不是刚把问题从
RedirectURI
转移到
State
参数吗?

State参数可用于在再次启动应用程序后控制重定向。令牌将只进入一个位置(由重定向URL指定)。之后,应用程序将安全地控制令牌,并可以查看状态参数以确定用户/令牌是否应前往其他地方。这在各种情况下都很有用,比如你正在创建一个基于新闻的应用程序,你需要知道他们试图从哪篇文章登录。然后,他们将被重定向回同一篇文章,以便继续阅读

状态
参数是不透明的,应用程序从授权服务器返回时应进行验证(例如加密、签名等)

此外,根据Omer Iqbal的评论,重定向URI是开放的,可以修改。因此,任何恶意用户都可以更改未注册URL的一部分,包括要重定向的查询参数。状态是不透明的,应用程序应该在从授权服务器返回时进行验证(例如加密、签名等)。我的答案是:“状态……应该加密或签名”。如果发生了这种情况,那么是的,它不能被蒙骗@OmerIqbalHi@Parakh-我知道它发生在之后。我的观点是,恶意用户可以在状态参数到达B2C之前修改它,就像他们可以修改
重定向\u URI
一样。我已经用重要的注释更新了我的答案,以保护“state”参数。@spottedmahn:state也应该用于CSRF保护,并且在OAuth2 RFC中指定了对它的保护:。第10.14节:“授权服务器和客户端必须清理(并在可能的情况下验证)接收到的任何值,特别是“state”和“redirect_uri”参数的值。”