auth-sec
Compare original and translation side by side
🇺🇸
Original
English🇨🇳
Translation
ChineseAuthentication and Authorization Router
身份认证与授权路由
这是认证、会话和授权边界的分类入口。
它适合先判断问题更偏向登录机制、对象级授权、浏览器信任边界,还是 OAuth、JWT、SAML 这一类身份协议,再进入具体专题。
这是认证、会话和授权边界的分类入口。
它适合先判断问题更偏向登录机制、对象级授权、浏览器信任边界,还是 OAuth、JWT、SAML 这一类身份协议,再进入具体专题。
When to Use
适用场景
- 目标包含登录、注册、找回密码、2FA、Session、JWT、OAuth、SSO
- 你怀疑是对象授权、跨租户访问、跨域读取、CSRF 或协议配置错误
- 你需要决定应该先测认证还是先测授权
- 目标包含登录、注册、找回密码、2FA、Session、JWT、OAuth、SSO
- 你怀疑是对象授权、跨租户访问、跨域读取、CSRF 或协议配置错误
- 你需要决定应该先测认证还是先测授权
Skill Map
技能地图
- Authentication Bypass: 登录绕过、找回密码、2FA、枚举、爆破防护
- IDOR Broken Object Authorization: IDOR、BOLA、BFLA、对象权限缺失
- JWT OAuth Token Attacks: 算法混淆、密钥信任、Claim 滥用、Token 伪造
- OAuth OIDC Misconfiguration: redirect URI、state、nonce、PKCE、账号绑定
- CSRF Cross Site Request Forgery: CSRF token、SameSite、JSON CSRF、登录 CSRF
- CORS Cross Origin Misconfiguration: 反射 Origin、凭证化跨域读取、Allowlist 绕过
- SAML SSO Assertion Attacks: assertion wrapping、签名验证、Audience、ACS 边界
- Authentication Bypass: 登录绕过、找回密码、2FA、枚举、爆破防护
- IDOR Broken Object Authorization: IDOR、BOLA、BFLA、对象权限缺失
- JWT OAuth Token Attacks: 算法混淆、密钥信任、Claim 滥用、Token 伪造
- OAuth OIDC Misconfiguration: redirect URI、state、nonce、PKCE、账号绑定
- CSRF Cross Site Request Forgery: CSRF token、SameSite、JSON CSRF、登录 CSRF
- CORS Cross Origin Misconfiguration: 反射 Origin、凭证化跨域读取、Allowlist 绕过
- SAML SSO Assertion Attacks: assertion wrapping、签名验证、Audience、ACS 边界
Recommended Flow
推荐流程
- 先确认认证模型和会话边界
- 再确认对象级和功能级授权
- 然后进入 Token、跨域与协议细节
- 有企业身份联邦时,再进入 OAuth、OIDC 或 SAML 专题
- 先确认认证模型和会话边界
- 再确认对象级和功能级授权
- 然后进入 Token、跨域与协议细节
- 有企业身份联邦时,再进入 OAuth、OIDC 或 SAML 专题
Related Categories
相关分类
- api-sec
- 默认凭证、用户名变体、字典规模与端口聚焦已并入 authbypass-authentication-flaws
- api-sec
- 默认凭证、用户名变体、字典规模与端口聚焦已并入 authbypass-authentication-flaws