Attaques exploitant les misconfigurations OAuth 2.0 : state CSRF, redirect_uri, token leakage.
OAuth 2.0 et OIDC sont des protocoles complexes dont les implémentations souffrent souvent de vulnérabilités classiques. Les attaques principales :
(1) CSRF sur le authorization code flow : sans paramètre state, un attaquant peut associer son propre code d'autorisation à la session de la victime, liant le compte tiers de l'attaquant au compte applicatif de la victime.
(2) Open redirect via redirect_uri : si la validation du redirect_uri est laxiste (substring match, wildcard mal placé), l'attaquant peut exfiltrer le code d'autorisation en redirigeant vers son domaine. Cas réel : Microsoft Identity 2021 (CVE-2021-42306).
(3) Implicit flow leakage : l'access token apparaît dans le fragment URL et peut fuiter via Referer, history, logs. OAuth 2.1 déprécie l'implicit flow.
(4) Authorization code interception : pour les apps mobiles/SPA, sans PKCE, un attaquant qui intercepte le code (URL scheme hijacking) peut l'échanger.
(5) Mix-up attack : confusion entre plusieurs IdP permettant de tromper le client.
(6) Refresh token theft : si stocké en localStorage (vulnérable XSS).
Mitigations : utiliser OAuth 2.1 (PKCE obligatoire, plus d'implicit flow, redirect_uri exact match), paramètre state cryptographiquement aléatoire vérifié, DPoP ou mTLS pour binder les tokens, stockage des tokens en HttpOnly cookies, validation stricte de l'iss dans OIDC. Le profil FAPI (Financial-grade API) impose ces bonnes pratiques.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →