Categoria

OAuth

Pagina 1 di 1

OAuth: standard semplice in teoria, catastrofico nell'implementazione

OAuth è uno standard semplice nella teoria, catastrofico nell'implementazione. Redirect URI validati con `startsWith` invece che `equals`, scope ignorati lato consumer, PKCE non implementato su client pubblici, refresh token non rotanti. Il classificatore LLM che ho costruito per audit automatico li trova quasi sempre.

In questa categoria scrivo di OAuth applicato: audit automatizzato con LLM sul catalogo delle vulnerabilità ricorrenti, implementazione client e server con `league/oauth2-server`, PKCE come default per client pubblici, gestione corretta dei refresh token, integrazione con SSO enterprise (Okta, Azure AD).

Se hai OAuth in produzione e vuoi un audit serio, parliamone. Oppure scopri il mio percorso in security PHP.

AI Code Security JWT OAuth Cybersecurity Avanzata LLM Automation

Audit automatizzato di implementazioni JWT e OAuth con LLM: il catalogo delle vulnerabilità ricorrenti

Audit automatizzato di implementazioni JWT e OAuth con LLM: il catalogo delle vulnerabilità ricorrenti JWT e OAuth sono standard semplici nella teoria, catastrofici nell'implementazione. Nella mia pipeline personale di audit ho costruito un classificatore LLM che analizza l'autenticazione di un progetto PHP e segnala vulnerabilità ricorrenti: algorithm confusion, refresh token deboli, storage insicuro, revocation mancante. Ti mostro il prompt engineering e il catalogo dei pattern pericolosi raccolti nella mia sandbox di audit sistematico. Continua a leggere
Ultima modifica: