登陆身份认证漏洞补充(login)

📅 发布时间:2026/7/16 1:24:02 👁️ 浏览次数:
登陆身份认证漏洞补充(login)
六大攻击向量深度解析1.1 攻击向量一:授权服务器配置缺陷代表实验:SSRF via OpenID Dynamic Client Registration漏洞原理:动态客户端注册端点(/reg)无需认证即可访问logo_uri参数指定的 URL 会被授权服务器访问以获取 logo攻击者指向内网地址(169.254.169.254),造成 SSRF利用代码:{ "redirect_uris":["https://example.com"], "logo_uri":"http://169.254.169.254/latest/meta-data/iam/security-credentials/admin/" }防御方案:注册端点要求 Initial Access Token严格校验所有 URI 参数(白名单域名)禁