Я хочу знать, что может сделать злоумышленник, если он получит client_id и client_secret приложения Google Oauth2.
Секрет клиента OAuth 2 должен быть защищен.Однако, если он просочился, атакующему нужен еще один предмет.Действительный redirect_uri.Если у злоумышленника есть оба вместе с (общедоступным) идентификатором клиента, он может создать токены OAuth для вашей учетной записи.
Значение redirect_uri часто действительно для http://localhost, поскольку разработчики забывают удалить этоURI после завершения разработкиЭто означает, что кто-то может запустить локальный сервер и сгенерировать токены OAuth.Это большая дыра в безопасности.
Что они могут делать с токенами OAuth?зависит ...
Например, какую информацию он сможет увидеть?Может ли он редактировать настройки приложения?Может ли он видеть информацию других людей?
Вы не указали, чья система OAuth, что она авторизует и т. Д. Поэтому ответ «зависит».
Для Google Cloud:хакеру понадобятся учетные данные для кого-то, авторизованного в Google Cloud.Некоторые системы имеют очень плохую безопасность, поэтому, как говорится, все может случиться, и часто это происходит с плохо спроектированной безопасностью.
В правильно спроектированной системе есть несколько уровней, через которые хакер должен пройти.Наличие Client Secret очень помогает, но не является полным провалом безопасности.Хакер может пройти аутентификацию только с помощью системы.Следующий уровень, который является авторизацией, должен быть нарушен.В правильно спроектированной системе хакеру необходимо пройти аутентификацию с пользователем с авторизованными разрешениями.Если у хакера есть это, то у вас большие проблемы.У него могут быть ключи, чтобы делать все, что он хочет.Опять же, это зависит.