OAuth / OIDC misconfig
redirect_uri validado por substring → https://app.com/callback?attacker=evil.com o redirect_uri=https://attacker.evil.com/app.com/.
Categoría: Web · Vectores avanzados 🎯 Trinchera —redirect_uri validado por substring →
https://app.com/callback?attacker=evil.com o
redirect_uri=https://attacker.evil.com/app.com/. Token leak por
referer, stored XSS, abierto open redirect = takeover de la víctima
si hace click.
🔗 Kill chain — Cadena clásica: open redirect en SSO → robo de
authorization code → exchange → ID token + access token.
Variantes 2024: PKCE downgrade, abuse de response_mode=fragment
para robar token vía XSS en el redirector.
📡 Huella defensiva — Volumen de auth requests con redirect_uri
no estándar, tokens emitidos hacia callbacks atípicos.
⚠️ Falso amigo — Implementar PKCE no protege si el redirect_uri
está mal validado.
🛡️ Remediación — Allowlist exacto de redirect_uri (incluyendo
path), enforzar HTTPS, PKCE obligatorio en clients públicos,
state parameter unique-per-flow.
← Volver al glosario completo Última actualización: 2026-06-11