ਇਹ ਲੇਖ ਉੱਤਰ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਨਜਿੱਠਣਾ ਚਾਹੁੰਦਾ ਹੈ. ਪਾਠਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿਚ ਸੁਰੱਖਿਅਤ ਅਤੇ ਸੁਰੱਖਿਅਤ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਕਿਵੇਂ ਲਾਗੂ ਕਰਨਾ ਹੈ ਬਾਰੇ ਸਿਖਣਗੇ.
ਓਆਥਮ ਇਕ ਭਰੋਸੇਮੰਦ ਪ੍ਰੋਟੋਕੋਲ ਹੈ, ਪਰ ਇਸ ਦੀ ਸੁਰੱਖਿਆ ਦੀ ਡਿਗਰੀ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਅਧਿਕਾਰ ਲਾਗੂ ਕਰਨ ਵੇਲੇ ਵੈਬ ਡਿਵੈਲਪਰਾਂ ਦੀ ਜਾਗਰੂਕਤਾ' ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ. ਇਹ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਲਈ ਇਹ ਵਿਸ਼ਾ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਬਣਾਉਂਦਾ ਹੈ. ਉਨ੍ਹਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਬਿਰਤਾਂਤਾਂ ਦੀ ਉੱਚ ਪੱਧਰੀ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੈ. ਇਹ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪ੍ਰੈਕਟੀਸ਼ਨਰ ਨਾਲ ਜਾਣੂ ਹੋਣ ਦਾ ਸਮਾਂ ਆ ਗਿਆ ਹੈ ਕਿ ਮਾੜੀ ਵਿਕਰੀ ਵੇਚਣ ਵਾਲੇ ਓਆਥਸ ਦੇ ਖ਼ਤਰੇ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਸਹਾਇਤਾ ਮਿਲੇਗੀ.
ਜਾਣ ਪਛਾਣਓਆਥ 2.0 ਪ੍ਰੋਟੋਕੋਲ ਇਸ ਸਮੇਂ ਵੱਖ-ਵੱਖ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ. ਇਸ ਦੀ ਵਰਤੋਂ ਕਰਦਿਆਂ, ਇਕ ਸੁਵਿਧਾਜਨਕ ਉਪਭੋਗਤਾ ਇੰਟਰਫੇਸ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਦੇਣ ਲਈ ਰਵਾਇਤੀ methods ੰਗਾਂ ਦੇ ਮੁਕਾਬਲੇ ਉਪਲੱਬਧ, ਸੌਖਾਤਾ ਅਤੇ ਅਧਿਕਾਰ ਬਣ ਜਾਂਦਾ ਹੈ. ਸਹੀ ਅਤੇ ਵਿਚਾਰਾਂ ਵਾਲੀ ਸਥਾਪਨਾ ਦੇ ਨਾਲ, ਓਆ -a ਆਥਾ ਪ੍ਰੋਟੋਕੋਲ ਰਵਾਇਤੀ ਅਧਿਕਾਰ ਨਾਲੋਂ ਸੁਰੱਖਿਅਤ ਹੋਵੇਗਾ, ਕਿਉਂਕਿ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਿਸੇ ਵਿਸ਼ੇਸ਼ ਸਰੋਤ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਲਈ ਆਪਣੇ ਲੇਖਾ ਦੇ ਅੰਕੜਿਆਂ ਨੂੰ ਸਾਂਝਾ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨਹੀਂ ਹੁੰਦੀ. ਉਪਭੋਗਤਾ ਅਕਸਰ ਆਪਣੇ ਵੈਬਸਾਈਟ, ਫੇਸਬੁੱਕ ਜਾਂ ਲਿੰਕਡਇਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਨੂੰ ਤਰਜੀਹ ਦਿੰਦੇ ਹਨ, ਇਸ ਦੀ ਬਜਾਏ ਜਦੋਂ ਤੁਹਾਨੂੰ ਕੁਝ ਵੈਬਸਾਈਟ 'ਤੇ ਰਜਿਸਟਰ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੁੰਦੀ ਹੈ. ਇਸ ਤਰ੍ਹਾਂ, ਓਆ uta ਥ ਪ੍ਰੋਟੋਕੋਲ ਸਾਡੀ ਜ਼ਿੰਦਗੀ ਨੂੰ ਬਹੁਤ ਜ਼ਿਆਦਾ ਬਣਾਉਂਦਾ ਹੈ.
ਆਮ ਤੌਰ 'ਤੇ, ਪ੍ਰਸਿੱਧ Outh ਈ ਸਰਵਿਸ ਪ੍ਰੋਵਾਈਡਰ ਬਹੁਤ ਭਰੋਸੇਮੰਦ ਹਨ. ਗੂਗਲ ਜਾਂ ਫੇਸਬੁੱਕ ਖਾਤੇ ਨਾਲ ਲੌਗ ਇਨ ਕਰੋ ਸੁਰੱਖਿਆ ਦੀ ਇਕ ਖ਼ਾਸ ਭਾਵਨਾ ਪੈਦਾ ਕਰਦੀ ਹੈ, ਅਤੇ ਇਹ ਸਹੀ ਹੈ. ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਮਾਹਰਾਂ ਦੁਆਰਾ ਧਿਆਨ ਨਾਲ ਟੈਸਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ. ਸਾਰੀਆਂ ਉਪਲਬਧ ਕਮਜ਼ੋਰੀਆਂ ਹਮੇਸ਼ਾਂ ਡਿਵੈਲਪਰ ਟੀਮ ਦੁਆਰਾ ਦਰਸਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ. ਹਾਲਾਂਕਿ, ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਪੂਰੀ ਸੁਰੱਖਿਆ ਦੀ ਭਾਵਨਾ ਗਲਤ ਹੋ ਸਕਦੀ ਹੈ.
Outh ਐਚ ਸਰਵਿਸ ਪ੍ਰਦਾਤਾ ਨੇ ਆਪਣੇ ਪ੍ਰੋਗਰਾਮਾਂ ਦੀ ਸੁਰੱਖਿਆ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਬਹੁਤ ਸਾਰੇ ਕਾਰਨ ਦਿੱਤੇ. ਦਰਅਸਲ, ਸ਼ੁਰੂ ਵਿੱਚ ਸੁਰੱਖਿਅਤ Outh ੰਗ ਸੇਵਾ ਵਿੱਚ, ਇਸ ਦੀ ਇੰਸਟਾਲੇਸ਼ਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਗਲਤ comped ੰਗ ਨਾਲ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ, ਘੁਸਪੈਠੀਏ ਲਈ ਸੌਖਾ ਨਿਸ਼ਾਨਾ ਬਣ ਸਕਦਾ ਹੈ. ਅਜਿਹੀ ਪ੍ਰਣਾਤਮਕ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਨਿੱਜੀ ਡੇਟਾ ਦੀ ਚੋਰੀ ਦਾ ਕਾਰਨ ਬਣ ਜਾਵੇਗਾ.
ਅੱਗੇ, ਤੁਹਾਨੂੰ ਤੀਜੀ ਧਿਰ ਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਆਉਣ ਵਾਲੀਆਂ ਸਭ ਤੋਂ ਆਮ ਕਮਜ਼ੋਰੀ ਲੋਕਾਂ 'ਤੇ ਵਿਚਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਆਪਣੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ Oauth ਲੀ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਨ. ਇਹ ਯਾਦ ਰੱਖਣਾ ਲਾਜ਼ਮੀ ਹੈ ਕਿ ਪ੍ਰੋਟੋਕੋਲ ਆਪਣੇ ਆਪ ਨੂੰ ਸੁਰੱਖਿਅਤ ਅਤੇ ਭਰੋਸੇਮੰਦ ਹੈ. ਸਿਰਫ ਗਲਤ ਸਥਾਪਨਾ ਤੋਂ ਬਾਅਦ, ਇਹ ਹੈਕਰਾਂ ਦੇ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹੋ ਜਾਂਦਾ ਹੈ.
ਰੈਫਰਰ ਸਿਰਲੇਖ ਦੀ ਵਰਤੋਂ ਕਰਦਿਆਂ OAUTH ਟੋਕਕੀ ਚੋਰੀਜਦੋਂ ਐਪਲੀਕੇਸ਼ਨ ਉਪਭੋਗਤਾ ਦੀ ਤਰਫੋਂ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ ਓਯੂਟੀ ਸਰਵਰ ਤੇ, ਇੱਕ ਵਿਅਕਤੀ ਕੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਤੇ ਸਰਵਰ ਤੇ ਇਸ ਤੋਂ ਬਾਅਦ ਦੀ ਜਾਂਚ ਲਈ ਵਾਪਸ ਭੇਜਦਾ ਹੈ. ਜੇ ਕੰਮ ਦੇ ਦੌਰਾਨ ਉਪਭੋਗਤਾ ਨੂੰ ਕਿਸੇ ਹੋਰ ਪੰਨੇ ਤੇ ਭੇਜਿਆ ਜਾਏਗਾ, ਕੋਡ HTTP ਬੇਨਤੀ ਦੇ "ਰੈਫਰਰਰ" ਸਿਰਲੇਖ ਵਿੱਚ ਵੇਖਿਆ ਜਾਵੇਗਾ. ਇਸ ਤਰ੍ਹਾਂ, ਕੋਡ ਬਾਹਰੀ ਵੈਬਸਾਈਟ 'ਤੇ ਡਿੱਗ ਜਾਵੇਗਾ, ਜੋ ਕਿ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਓਆ -a ੁਆ ਸਰਵਰ' ਤੇ ਭੇਜੇਗਾ.
ਨੋਟ: ਰੈਫਰਰ ਸਿਰਲੇਖ ਇੱਕ HTTP ਪੁੱਛਾ ਪ੍ਰਸ਼ਨ ਹੈ, ਇਹ URL ਮੇਜ਼ਬਾਨ ਹੈ ਜਿਸ ਤੋਂ ਬੇਨਤੀ ਭੇਜੀ ਗਈ ਹੈ.
ਇਸ ਕਮਜ਼ੋਰੀ ਦੇ ਨਤੀਜਿਆਂ ਨੂੰ ਨਰਮ ਕਰਨ ਲਈ, ਡਿਵੈਲਪਰ ਨੂੰ ਇਹ ਨਿਸ਼ਚਤ ਕਰਨਾ ਪਏਗਾ ਕਿ ਇਸ ਦੀ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਕੋਈ ਐਚਟੀਐਮਐਲ ਟੀਕੇ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ. ਜੇ ਟੀਕਿਆਂ ਦਾ ਪਤਾ ਲੱਗਿਆ ਹੋਇਆ ਸੀ, ਤਾਂ ਹਮਲਾਵਰ ਚਿੱਤਰ ਨੂੰ ਅਸਾਨੀ ਨਾਲ ਇਸ ਦੇ ਵੈੱਬ ਸਰਵਰ ਨਾਲ ਸੈੱਟ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਇਸ ਨੂੰ ਉਪਭੋਗਤਾ ਨੂੰ ਭੇਜਣ ਦਾ ਤਰੀਕਾ ਲੱਭਣ ਦਾ ਤਰੀਕਾ ਲੱਭ ਸਕਦਾ ਹੈ. ਇਸ ਤਰ੍ਹਾਂ, ਉਸਨੂੰ HTTP ਬੇਨਤੀ ਦੇ "ਰੈਫਰਰਰ" ਸਿਰਲੇਖ ਤੋਂ ਕੋਡ ਚੋਰੀ ਕਰਨ ਦਾ ਮੌਕਾ ਮਿਲੇਗਾ.
ਰੀਡਾਇਰੈਕਟ_ਉਰੀ ਪੈਰਾਮੀਟਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਓ.ਟੀ.ਆਈ.ਵੀ.ਐਪਲੀਕੇਸ਼ਨ ਨੇ ਓਆ uth ਸ਼ ਸਰਵਰ ਨੂੰ ਬੇਨਤੀ ਭੇਜ ਕੇ ਅਧਿਕਾਰ ਪ੍ਰਕਿਰਿਆ ਦੀ ਸ਼ੁਰੂਆਤ ਕੀਤੀ:
https://www.example.com/signin/Authitiume is.
ਪੁੱਛਗਿੱਛ ਵਿੱਚ ਹਮੇਸ਼ਾਂ "ਰੈੱਡਰੀਕ੍ਰੈਕਟ_ੰਦੀ" ਪੈਰਾਮੀਟਰ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਉਪਭੋਗਤਾ ਨੇ ਆਪਣੀ ਸਹਿਮਤੀ ਦਿੱਤੀ ਸੀ ਤਾਂ ਆਕਾਸ਼ ਸਰਵਰ ਦੁਆਰਾ ਵਰਤੀ ਜਾਂਦੀ ਸੀ. ਜੇ ਇਸ ਪੈਰਾਮੀਟਰ ਦਾ ਮੁੱਲ ਨਿਯੰਤਰਿਤ ਨਹੀਂ ਹੈ ਜਾਂ ਜਾਂਚਿਆ ਨਹੀਂ ਗਿਆ ਹੈ ਤਾਂ ਹਮਲਾਵਰ ਇਸ ਨੂੰ ਅਸਾਨੀ ਨਾਲ ਬਦਲ ਸਕਦੇ ਹਨ ਅਤੇ ਇਸਦੀ ਵੈਬਸਾਈਟ ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰ ਸਕਦੇ ਹਨ, ਜਿੱਥੇ ਇਹ ਟੋਕਨ ਨੂੰ ਟੋਕਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਅਤੇ ਸੀਮਤ ਸਰੋਤ ਤੇ ਪਹੁੰਚ ਲਈ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਪ੍ਰੋਗਰਾਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ.
https://www.example.com/signin/Authitiume. Plange
ਕਈ ਵਾਰ ਇਸੇ ਤਰਾਂ ਦੇ urls ਬਲੌਕ ਕੀਤੇ ਜਾਂਦੇ ਹਨ. ਹਮਲਾਵਰ ਓਪਨ ਯੂਆਰਐਲ ਤੇ ਪ੍ਰਾਪਤ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ:
https://www.example.com/oauth20__uthorize.srf for fä. na.
ਜਾਂ ਇਹ:
https://www.example.com/oauth2/authorive ਕੀ [...]]% ITRAPURI = HTTPS% 39 2F% 2FAXPS.chebook.com% 2FATCTR% 2F.
ਓਆ uth ਵਾਉਣ ਵੇਲੇ, ਤੁਸੀਂ ਕਦੇ ਵੀ ਚਿੱਟੇ ਸੂਚੀ ਵਿੱਚ ਪੂਰੇ ਡੋਮੇਨ ਸ਼ਾਮਲ ਨਹੀਂ ਕਰ ਸਕਦੇ. ਸਿਰਫ ਕੁਝ ਕੁ URL ਸ਼ਾਮਲ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ "ਰੀਡਾਇਰੈਕਟ_ਉਰੀ" ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਖੋਲ੍ਹਣ ਲਈ ਬੇਨਤੀ ਨੂੰ ਮੁੜ ਨਿਰਦੇਸ਼ਤ ਨਹੀਂ ਕੀਤਾ ਗਿਆ.
ਕਰਾਸ-ਲਾਈਨ ਬੇਨਤੀਆਂ ਦੀ ਭੁੱਲਰੀਇਕ ਅੰਦਰੂਨੀ ਬੇਨਤੀ ਦੀ ਜਾ ਸਕਦੀ ਹੈ ਜਦੋਂ ਕੋਈ ਹਮਲਾਵਰ ਉਸ ਦੇ ਲਿੰਕ ਤੇ ਕਲਿਕ ਕਰਨ ਅਤੇ, ਇਸ ਤਰ੍ਹਾਂ, ਇਕ ਬੇਨਤੀ ਤਿਆਰ ਕਰਨ ਲਈ ਸਫਲ ਹੁੰਦਾ ਹੈ ਕਿ ਉਹ ਬਣਾਉਣ ਜਾ ਰਿਹਾ ਸੀ. ਕਰਾਸ-ਲਾਈਨ ਬੇਨਤੀਆਂ ਦੀ ਭੁੱਲਰੀ ਆਮ ਤੌਰ 'ਤੇ ਸੀਐਸਆਰਐਫ ਟੋਕਨ ਨਾਲ ਨਰਮ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨ ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ. ਇਹ ਬਿਨੈ-ਪੱਤਰ ਨੂੰ ਉਸ ਵਿਅਕਤੀ ਨੂੰ ਵੇਖਣ ਵਿਚ ਸਹਾਇਤਾ ਕਰਦਾ ਹੈ ਜਿਸ ਨੇ ਬੇਨਤੀ ਭੇਜੀ ਸੀ. ਓਆ uth ਲੀ ਪਰ ਪ੍ਰੋਟੋਕੋਲ ਵਿੱਚ "ਸਟੇਟ" ਪੈਰਾਮੀਟਰ ਸੀਐਸਆਰਐਫ ਟੋਕਨ ਦਾ ਕੰਮ ਕਰਦਾ ਹੈ.
ਇਹ ਵੇਖਣ ਦੇ ਯੋਗ ਹੈ ਕਿ ਸੀਐਸਆਰਐਫ ਦਾ ਹਮਲਾ Oauth 'ਤੇ ਅਤੇ "ਸਟੇਟ" ਪੈਰਾਮੀਟਰ ਦੀ ਵਰਤੋਂ ਕਮਜ਼ੋਰੀ ਦੇ ਪ੍ਰਭਾਵਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਕਿਵੇਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ.
ਹੈਕਰ ਨੇ ਇੱਕ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਖੋਲ੍ਹਿਆ ਅਤੇ ਓਆਥ ਦੀ ਵਰਤੋਂ ਕਰਦਿਆਂ ਸਰਵਿਸ ਪ੍ਰਦਾਤਾ ਤੱਕ ਪਹੁੰਚਣ ਲਈ ਅਧਿਕਾਰ ਪ੍ਰਕਿਰਿਆ ਦੀ ਸ਼ੁਰੂਆਤ ਕੀਤੀ. ਐਪਲੀਕੇਸ਼ਨ ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ. ਹੈਕਰ ਨੂੰ ਸਰਵਿਸ ਪ੍ਰਦਾਤਾ ਵੈਬਸਾਈਟ ਤੇ ਭੇਜਿਆ ਜਾਵੇਗਾ, ਜਿੱਥੇ ਐਕਸੈਸ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ ਤੁਹਾਨੂੰ ਆਪਣਾ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੁੰਦੀ ਹੈ. ਇਸ ਦੀ ਬਜਾਏ, ਹੈਕਰ ਇਸ ਬੇਨਤੀ ਨੂੰ ਫੜਦਾ ਹੈ ਅਤੇ ਰੋਕਦਾ ਹੈ ਅਤੇ ਇਸਦੇ ਯੂਆਰਐਲ ਨੂੰ ਬਚਾਉਂਦਾ ਹੈ. ਹਾਕਰ ਕਿਸੇ ਤਰ੍ਹਾਂ ਪੀੜਤ ਨੂੰ ਇਸ URL ਨੂੰ ਖੋਲ੍ਹਣ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ. ਜੇ ਪੀੜਤ ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਦੇ ਸਿਸਟਮ ਦਾ ਆਪਣਾ ਖਾਤਾ ਵਰਤ ਕੇ ਦਾਖਲ ਹੋਇਆ, ਤਾਂ ਇਸ ਦੀਆਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇੱਕ ਅਧਿਕਾਰ ਕੋਡ ਜਾਰੀ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਏਗਾ. ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਐਕਸੈਸ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ. ਹੁਣ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਹੈਕਰ ਖਾਤਾ ਅਧਿਕਾਰਤ ਹੈ. ਇਹ ਪੀੜਤ ਦੇ ਖਾਤੇ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ.
ਤਾਂ ਫਿਰ, ਮੈਂ ਇਸ ਸਥਿਤੀ ਨੂੰ "ਸਟੇਟ" ਪੈਰਾਮੀਟਰ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰ ਸਕਦਾ ਹਾਂ?
ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਇੱਕ ਮੁੱਲ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਸਰੋਤ ਅਕਾਉਂਟ ਦੇ ਅਧਾਰ ਤੇ (ਉਦਾਹਰਣ ਵਜੋਂ, ਯੂਜ਼ਰ ਸ਼ੈਸ਼ਨ ਹੈਸ਼ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰੋ). ਇਹ ਇੰਨਾ ਮਹੱਤਵਪੂਰਣ ਨਹੀਂ ਹੈ ਕਿ ਇਹ ਕੀ ਹੈ, ਮੁੱਖ ਗੱਲ ਇਹ ਹੈ ਕਿ ਮੁੱਲ ਅਸਲ ਉਪਭੋਗਤਾ ਬਾਰੇ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਿਲੱਖਣ ਹੈ. ਇਹ "ਸਟੇਟ" ਪੈਰਾਮੀਟਰ ਨੂੰ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ.
ਜਦੋਂ ਮੁੜ ਨਿਰਦੇਸ਼ਤ ਕਰਦੇ ਹੋ ਤਾਂ ਇਹ ਮੁੱਲ ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਹੁੰਦਾ ਹੈ. ਹੁਣ ਹੈਕਰ ਨੇ ਪੀੜਤ ਨੂੰ URL ਖੋਲ੍ਹਣ ਦਾ ਸੱਦਾ ਦਿੱਤਾ, ਜਿਸ ਨੂੰ ਉਸਨੇ ਬਰਕਰਾਰ ਰੱਖਿਆ.
ਪ੍ਰਮਾਣਿਕਤਾ ਕੋਡ ਜਾਰੀ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ "ਰਾਜ" ਪੈਰਾਮੀਟਰ ਦੇ ਨਾਲ ਸੈਸ਼ਨ ਵਿੱਚ ਗਾਹਕ ਨੂੰ ਵਾਪਸ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ.
ਕਲਾਇੰਟ ਇੱਕ ਸੈਸ਼ਨ ਦੀ ਜਾਣਕਾਰੀ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਪੈਰਾਮੀਟਰ ਦਾ ਮੁੱਲ ਤਿਆਰ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ "ਰਾਜ" ਵੈਲਯੂ ਨਾਲ ਕਰਦਾ ਹੈ, ਜੋ ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਨੂੰ ਅਧਿਕਾਰ ਬੇਨਤੀ ਤੋਂ ਵਾਪਸ ਭੇਜਿਆ ਗਿਆ ਸੀ. ਇਹ ਮੁੱਲ ਪੁੱਛਗਿੱਛ ਵਿੱਚ "ਰਾਜ" ਪੈਰਾਮੀਟਰ ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ, ਕਿਉਂਕਿ ਇਹ ਸਿਰਫ ਮੌਜੂਦਾ ਸੈਸ਼ਨ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਅਧਾਰ ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ. ਨਤੀਜੇ ਵਜੋਂ, ਪ੍ਰਾਪਤ ਮੁੱਲ ਸਿਸਟਮ ਦੁਆਰਾ ਸਵੀਕਾਰ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ.
Outh ਆੜ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵੇਲੇ XSS (ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟ) ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਅਧਿਕਾਰ ਕੋਡ ਨੂੰ ਮਲਟੀਪਲ ਐਕਸੈਸ ਟੋਕਨ ਜਾਰੀ ਕਰਨ ਲਈ ਇੱਕ ਤੋਂ ਵੱਧ ਵਾਰ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ). ਇਹ ਕਮਜ਼ੋਰੀ ਉੱਪਰ ਦੱਸੇ ਅਨੁਸਾਰ ਘੱਟ ਆਮ ਹਨ, ਪਰ ਇਹ ਉਨ੍ਹਾਂ ਨੂੰ ਘੱਟ ਖਤਰਨਾਕ ਨਹੀਂ ਬਣਾਉਂਦਾ. ਡਿਵੈਲਪਰ ਨੂੰ ਇਸਦੀ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਭਰੋਸੇਯੋਗ ਕਾਰਵਾਈ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਸਾਰੇ ਜ਼ਰੂਰੀ ਅਭਿਆਸਾਂ ਨੂੰ ਪਤਾ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ.
ਅਨੁਵਾਦ ਕੀਤੇ ਲੇਖ ਦੇ ਲੇਖਕ: ਸਾਈਮਨ ਸਲੀਬਾ.
ਮਹੱਤਵਪੂਰਨ! ਸਿਰਫ ਅਕਾਦਮਿਕ ਉਦੇਸ਼ਾਂ ਲਈ ਜਾਣਕਾਰੀ. ਕਿਰਪਾ ਕਰਕੇ ਕਾਨੂੰਨ ਦੀ ਪਾਲਣਾ ਕਰੋ ਅਤੇ ਗੈਰ ਕਾਨੂੰਨੀ ਉਦੇਸ਼ਾਂ ਲਈ ਇਸ ਜਾਣਕਾਰੀ ਨੂੰ ਲਾਗੂ ਨਾ ਕਰੋ.
ਸਿਸੋਕਲਬ.ਰੂ ਤੇ ਵਧੇਰੇ ਦਿਲਚਸਪ ਸਮੱਗਰੀ. US ਦੇ ਉਚਾਰਨਾਂ ਦੇ ਗਾਹਕ ਬਣੋ: ਫੇਸਬੁੱਕ | ਵੀ. ਟਵਿੱਟਰ | ਇੰਸਟਾਗ੍ਰਾਮ | ਤਾਰ | ਜ਼ੈਨ | ਮੈਸੇਂਜਰ | ਆਈਸੀਕਿਯੂ ਨਵਾਂ | ਯੂਟਿ .ਬ | ਨਬਜ਼.