Saltar al contenido principal

OAuth / OIDC misconfig

redirect_uri validado por substring → https://app.com/callback?attacker=evil.com o redirect_uri=https://attacker.evil.com/app.com/.

Categoría: Web · Vectores avanzados 🎯 Trincheraredirect_uri validado por substring → https://app.com/callback?attacker=evil.com o redirect_uri=https://attacker.evil.com/app.com/. Token leak por referer, stored XSS, abierto open redirect = takeover de la víctima si hace click. 🔗 Kill chain — Cadena clásica: open redirect en SSO → robo de authorization code → exchange → ID token + access token. Variantes 2024: PKCE downgrade, abuse de response_mode=fragment para robar token vía XSS en el redirector. 📡 Huella defensiva — Volumen de auth requests con redirect_uri no estándar, tokens emitidos hacia callbacks atípicos. ⚠️ Falso amigo — Implementar PKCE no protege si el redirect_uri está mal validado. 🛡️ Remediación — Allowlist exacto de redirect_uri (incluyendo path), enforzar HTTPS, PKCE obligatorio en clients públicos, state parameter unique-per-flow.
Volver al glosario completo Última actualización: 2026-06-11