hackzkaq的博客

主流的身份提供商（IdP）使用OAuth2.0协议来支持单点登录服务。由于此协议最初设计用于满足第三方网站的授权需求，所以在使用OAuth来支持移动应用程序（app）身份验证时，研究人员已经发现了很多的缺陷。据我们所知，之前包括BlackHat USA'16 [3]，CCS'14 [2]和ACSAC'15 [5]提到的所有攻击都需要与受害者进行交互。例如通过恶意应用程序网络窃听等。

JSON Web Token (JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。在线解密查看内容：

本文介绍了 SideWinder 组织的针对性攻击，尤其是针对土耳其的新攻击动向。从地缘政治角度来说，土耳其对巴基斯坦的支持可能引起了印度的警惕。