Passkey
フィッシング
利用者を、著名なWebサイトなどを偽装したサイトに誘導して、個人情報などを入力させる
#WIP
response headerに対してinjectionする
URLを解釈してresponse headerを作るような実装があった時に、
URLに、
改行コードと、
MicroSoftが提唱した脅威モデル
https://docs.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats
Spoofing
なりすまし
e.g.
オープンリダイレクト
URLのqueryに、URLを指定してredirectさせる実装による脆弱性
例えば、以下のようなloginページのURL
http://example.jp/login/?continue=http://trap.example.com/
このサイトでは、login後に、http://trap.example.com/
に遷移する