Кратко и по существу: перечислю оставшиеся классы уязвимостей для OAuth2 + REST API, как их тестировать и как устранять (для каждой — что конкретно делать).
1) Угрозы, специфичные для OAuth2 / аутентификации
- Утечка токенов (access/refresh): из URL, localStorage, логов, реферера.
- Тесты: проверить наличие токенов в URL/реферерах/локальном хранилище; проксировать трафик (Burp, mitmproxy); review кода клиента.
- Митигции: не передавать токены в URL; хранить в cookie с флагами `HttpOnly; Secure; SameSite=Strict` или использовать secure storage в нативных клиентах; короткий срок жизни access-token (например $\le 15$ минут) и rotation refresh-токенов.
- Перехват кода авторизации / CSRF на редиректе (отсутствие state / nonce)
- Тесты: попытка запросить авторизацию с поддельным `state`, манипуляции redirect_uri, проверка повторного использования кода.
- Митигции: требовать и проверять `state` и `nonce` (OIDC) для всех authorization responses; валидировать redirect_uri точным совпадением.
- Неправильная валидация redirect_uri / open redirect
- Тесты: подставить разные `redirect_uri` (поддомены, URL-параметры), попытка open-redirect через сервер.
- Митигции: whitelist точных URI, запрет шаблонов типа `*.example.com` без строгой политики.
- Использование устаревших грантов (implicit, resource owner password)
- Рекомендация: использовать Authorization Code + PKCE; избегать implicit и password grants.
- Клиентские секреты в публичных клиентах
- Тесты: поиск секретов в репозиториях/JS-коде.
- Митигции: публичные клиенты — без client_secret или с PKCE; хранить секреты лишь на защищённых бэкендах.
- Повторное использование refresh-токена (token replay)
- Тесты: попытка переиспользовать старого refresh-токена после его обмена.
- Митигции: refresh token rotation с аннулированием старых токенов и обнаружением reuse; логирование и блокировка при подозрении.
- Неправильная проверка JWT (alg, kid, issuer, audience, exp)
- Тесты: модификация JWT (switch alg → none/HS256), изменение payload, проверка валидации `iss`, `aud`, `exp`, `nbf`.
- Митигции: использовать асимметричную подпись (RS256/PS256), не доверять `alg` из токена, валидировать `iss`, `aud`, `exp`, `nbf`, `jti` по списку отозванных, ключи с JWK и ротацией.
2) Угрозы для REST API (взаимодействие)
- Отсутствие или слабая авторизация (Broken Access Control, IDOR)
- Тесты: изменение идентификаторов ресурсов, проверка доступа к чужим данным.
- Митигции: серверная авторизация по контексту (не только по токену), RBAC/ABAC, проверка владельца ресурса.
- Инъекции (SQL, NoSQL, Command)
- Тесты: fuzzing, payloads для SQL/NoSQL/OS; автоматизированный сканер (sqlmap, Burp).
- Митигции: параметризованные запросы, ORM/биндинг, проверка типов, ограничение вводимых данных.
- XSS / JSON-injection / десериализация
- Тесты: инъекция скриптов в полях, проверка отражённого/хранимого вывода.
- Митигции: output-encoding, Content Security Policy, безопасная сериализация.
- CORS и CSRF
- Тесты: отправка кросс-оригин запросов с произвольным Origin; отсутствие CSRF защиты на state-changing endpoint.
- Митигции: whitelist Origin, строгие CORS-правила, защитные заголовки; CSRF-токены или использование SameSite cookie + проверка заголовка `Origin`.
- Отсутствие TLS / неправильная конфигурация
- Тесты: попытка перехвата HTTP; проверка поддерживаемых протоколов/шифров.
- Митигции: принудительный TLS, HSTS, отключение слабых шифров.
- Отсутствие rate-limiting / brute-force
- Тесты: автоматизированные попытки перебора токенов/паролей/ресурсов.
- Митигции: rate-limiting, lockouts, CAPTCHAs, anomaly detection.
- Плохая логирование/отслеживание и отсутствие ревокации
- Тесты: проверить возможности реваокации токенов, логи доступа.
- Митигции: реализация RFC 7009 token revocation и introspection; аудиторский лог и мониторинг подозрительной активности.
3) Тестирование: набор практических шагов
- Инструменты: Burp Suite / OWASP ZAP, mitmproxy, jwt-tool/jwt.io, Postman/curl, sqlmap, fuzzers (ffuf), nmap/sslyze.
- OAuth-процедуры:
- Перехватить Authorization Code flow: попытаться использовать перехваченный код с другого redirect_uri.
- Проверить `state`/`nonce`: удалить/изменить и посмотреть ACCEPT/REJECT.
- Проверить redirect_uri validation: подставить другой redirect.
- Проверить токены в localStorage/cookies/URL.
- Попытка модификации JWT: смена `alg` на `none`, изменение payload → отправить на ресурсный сервер.
- Проверить refresh-токен rotation и reuse detection.
- API-процедуры:
- IDOR / RBAC: манипулировать id в запросах.
- Fuzzing / injection: отправлять вредоносные полезности в параметры.
- CORS: менять Origin, отправлять preflight запросы.
- Rate limits: нагрузочное тестирование на пределы.
- TLS: сканирование конфигурации SSL/TLS.
4) Конкретные рекомендации по устранению (чеклист)
- Использовать Authorization Code + PKCE для публичных клиентов; запретить implicit.
- Хранить access-token краткосрочно (примерно $\le 15$ минут), использовать refresh-token с rotation и ограниченным временем жизни.
- Не хранить токены в localStorage; предпочесть `HttpOnly Secure SameSite` cookies или безопасное native storage.
- Валидировать JWT: проверять подпись (RS/PS), `iss`, `aud`, `exp`, `nbf`, `jti`. Отклонять неожиданный `alg`.
- Реализовать точный whitelist redirect_uri; требовать `state` и `nonce`.
- Ограничивать scope и права по принципу наименьших привилегий.
- Применять mTLS или DPoP для привязки токена к клиенту, если требуется высокий уровень защиты.
- Валидация и нормализация всех входных данных; parameterized queries; защита от инъекций.
- Включить строгие CORS-политики, CSP, HSTS.
- Rate limiting, мониторинг, alerting, возможность реваокации токенов и интроспекции.
- Регулярно проводить автоматизированные и ручные pentest, проверять конфигурации OAuth провайдера и реализацию на соответствие OWASP ASVS и OAuth threat model.
5) Что важно дополнительно контролировать
- Управление ключами: JWK endpoint, ротация ключей, проверка `kid`.
- Логика авторизации на ресурсном сервере (не доверять ролям, кодируемым в токене без дополнительной проверки).
- Защита CI/CD/репозиториев от утечек секретов.
Если нужно — могу дать конкретный набор тестов (повторяемых шагов) для Burp/Postman или шаблоны curl-запросов для проверки redirect_uri, JWT и token introspection.