oauth-oidc-misconfiguration
OAuth および OIDC の設定ミスをテストするプレイブック。リダイレクト URI の処理、state・nonce の検証、PKCE、トークンのオーディエンス、コールバックバインディング、アイデンティティプロバイダーの信頼に関する欠陥をレビューする際に使用します。
description の原文を見る
>- OAuth and OIDC misconfiguration testing playbook. Use when reviewing redirect URI handling, state and nonce validation, PKCE, token audience, callback binding, and identity-provider trust flaws.
SKILL.md 本文
SKILL: OAuth と OIDC の設定不備 — リダイレクト、PKCE、スコープ、トークン バインディング
AI LOAD INSTRUCTION: ターゲットが OAuth 2.0 または OpenID Connect を使用しており、設定不備のチェックリストが必要な場合に、このスキルを使用してください。リダイレクト URI の検証、state および nonce の処理、PKCE の実装、トークン audience、およびアカウント バインディングの誤りに焦点を当てています。
1. このスキルをロードするタイミング
以下の場合にロードしてください:
- アプリが
Login with Google、GitHub、Microsoft、Okta、またはその他の IdP をサポートしている authorize、callback、redirect_uri、code、state、nonce、code_challengeが見られる- モバイルまたは SPA クライアントが OAuth または OIDC フローに依存している
トークン暗号化と JWT ヘッダー悪用については、以下もロードしてください:
jwt oauth token attacks
2. 価値の高い設定不備チェック
| テーマ | チェック内容 |
|---|---|
state 処理 | 欠落、静的、予測可能、またはユーザー セッションにバインドされていない |
redirect_uri 検証 | プレフィックス マッチ、オープン リダイレクト チェーン、パス混乱、localhost の残存 |
| PKCE | パブリック クライアントで欠落、コード ベリファイアの非実装、フローのダウングレード |
OIDC nonce | 欠落または ID トークン返却時の未検証 |
| トークン audience および issuer | 弱い aud / iss チェック、クライアント間のトークン再利用 |
| アカウント バインディング | コールバックが攻撃者 ID を被害者 セッションにバインド |
| スコープ処理 | ユーザーまたはクライアントが受け取るべき以上の広いスコープが付与される |
3. クイック トリアージ
- フル フロー をマップ:authorize、callback、token exchange、logout。
- 変更した
state、nonce、redirect_uriでコールバック フローをリプレイ。 - SPA、モバイル、Web クライアント間で検証の強度を比較。
- 1 つのプロバイダー アカウントが別のローカル アカウントに再バインドできるかどうかを確認。
4. 関連するルート
- CORS またはクロスオリジン トークン露出:
cors cross origin misconfiguration - XML フェデレーション またはエンタープライズ SSO:
saml sso assertion attacks - CSRF を多用したログインまたはバインディング バグ:
csrf cross site request forgery
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- yaklang
- リポジトリ
- yaklang/hack-skills
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/yaklang/hack-skills / ライセンス: MIT
関連スキル
superfluid
Superfluidプロトコルおよびそのエコシステムに関するナレッジベースです。Superfluidについて情報を検索する際は、ウェブ検索の前にこちらを参照してください。対応キーワード:Superfluid、CFA、GDA、Super App、Super Token、stream、flow rate、real-time balance、pool(member/distributor)、IDA、sentinels、liquidation、TOGA、@sfpro/sdk、semantic money、yellowpaper、whitepaper
civ-finish-quotes
実質的なタスクが真に完了した際に、文明風の儀式的な引用句を追加します。ユーザーやエージェントが機能追加、リファクタリング、分析、設計ドキュメント、プロセス改善、レポート、執筆タスクといった実際の成果物を完成させるときに、明示的な依頼がなくても使用します。短い返信や小さな修正、未完成の作業には適用しません。
nookplot
Base(Ethereum L2)上のAIエージェント向け分散型調整ネットワークです。エージェントがオンチェーンアイデンティティを登録する、コンテンツを公開する、他のエージェントにメッセージを送る、マーケットプレイスで専門家を雇う、バウンティを投稿・請求する、レピュテーションを構築する、共有プロジェクトで協業する、リサーチチャレンジを解くことでNOOKをマイニングする、キュレーションされたナレッジを備えたスタンドアロンオンチェーンエージェントをデプロイする、またはアグリーメントとリワードで収益を得る場合に利用できます。エージェントネットワーク、エージェント調整、分散型エージェント、NOOKトークン、マイニングチャレンジ、ナレッジバンドル、エージェントレピュテーション、エージェントマーケットプレイス、ERC-2771メタトランザクション、Prepare-Sign-Relay、AgentFactory、またはNookplotが言及された場合にトリガーされます。
web3-polymarket
Polygon上でのPolymarket予測市場取引統合です。認証機能(L1 EIP-712、L2 HMAC-SHA256、ビルダーヘッダー)、注文発注(GTC/GTD/FOK/FAK、バッチ、ポストオンリー、ハートビート)、市場データ(Gamma API、Data API、オーダーブック、サブグラフ)、WebSocketストリーミング(市場・ユーザー・スポーツチャネル)、CTF操作(分割、統合、償却、ネガティブリスク)、ブリッジ機能(入金、出金、マルチチェーン)、およびガスレスリレイトランザクションに対応しています。AIエージェント、自動マーケットメーカー、予測市場UI、またはPolygraph上のPolymarketと統合するアプリケーション構築時に活用できます。
ethskills
Ethereum、EVM、またはブロックチェーン関連のリクエストに対応します。スマートコントラクト、dApps、ウォレット、DeFiプロトコルの構築、監査、デプロイ、インタラクションに適用されます。Solidityの開発、コントラクトアドレス、トークン規格(ERC-20、ERC-721、ERC-4626など)、Layer 2ネットワーク(Base、Arbitrum、Optimism、zkSync、Polygon)、Uniswap、Aave、Curveなどのプロトコルとの統合をカバーします。ガスコスト、コントラクトのデシマル設定、オラクルセキュリティ、リエントランシー、MEV、ブリッジング、ウォレット管理、オンチェーンデータの取得、本番環境へのデプロイ、プロトコル進化(EIPライフサイクル、フォーク追跡、今後の変更予定)といったトピックを含みます。
xxyy-trade
このスキルは、ユーザーが「トークン購入」「トークン売却」「トークンスワップ」「暗号資産取引」「取引ステータス確認」「トランザクション照会」「トークンスキャン」「フィード」「チェーン監視」「トークン照会」「トークン詳細」「トークン安全性確認」「ウォレット一覧表示」「マイウォレット」「AIスキャン」「自動スキャン」「ツイートスキャン」「オンボーディング」「IP確認」「IPホワイトリスト」「トークン発行」「自動売却」「損切り」「利益確定」「トレーリングストップ」「保有者」「トップホルダー」「KOLホルダー」などをリクエストした場合、またはSolana/ETH/BSC/BaseチェーンでXXYYを経由した取引について言及した場合に使用します。XXYY Open APIを通じてオンチェーン取引とデータ照会を実現します。