gpt4 book ai didi

Azure AD B2C 容易受到开放重定向的影响吗?

转载 作者:行者123 更新时间:2023-12-01 00:21:36 25 4
gpt4 key购买 nike

我正在使用 OWIN 和 OpenId 对使用 Azure AD B2C 的 Web 应用程序的用户进行身份验证,Startup.Auth.cs 的代码如下:

app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
MetadataAddress = string.Format(AadInstance, Tenant, policy),
AuthenticationType = policy,
ClientId = clientId,
Authority = authority,
PostLogoutRedirectUri = postLogoutRedirectUri,
RedirectUri = postLogoutRedirectUri,
Notifications = new OpenIdConnectAuthenticationNotifica....

注销时,它会导致重定向到 postLogoutRedirectUrl,如下所示

https://login.microsoftonline.com/MY_TENANT/oauth2/logout?p=my_policy&post_logout_redirect_uri=https%3A%2F%2Fgoogle.com%2F

注销后重定向 URI 出现在门户的重定向 URI 中。

如果我停止浏览器并将地址栏中的注销后 URI 更改为 https%3A%2F%2Fevil.com%2F,则即使此 url https://evil.com/ 也会正确重定向。不在允许的重定向 uri 中。

为什么 AD B2C 不停止重定向?这不存在漏洞吗?

最佳答案

当您使用 Azure AD B2C 登录时,B2C 服务会向“redirect_uri”(应用)发送一个 token 。由于 token 需要保持安全,因此 B2C 服务会要求您将 token 应发送到的 URL 列入白名单。

当您注销时,不会有任何安全信息从 B2C 服务传输回应用程序。因此,即使用户被重定向到恶意站点,也不会丢失任何安全信息。

关于Azure AD B2C 容易受到开放重定向的影响吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48340714/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com