为了简化使用者必须逐一申请、记忆各式网页应用程式帐号密码的不便,采用OAuth身分验证机制的作法,让使用者只要透过脸书、Google、推特等服务的帐号,就能存取网站服务的做法,也越来越普遍,然而,一旦网站开发者实作不够完整,就有可能让攻击者有机可乘,发动类似帐号填充(Credential Stuffing)的手法,透过某些看似合法的管道取得Token,就有机会存取使用者透过OAuth进行身分验证的其他网路服务。
这种情况资安业者Salt Security今年3月开始提出警告,当时他们针对