OAuth 1.0の脆弱性

OAuthと周辺技術の勉強会 — ありえるえりあ

攻撃者がreq-tokenを覚えておけば、被害者がアクセス許可を出した後、req-token(authed)を使って6.2.3の処理を実行すれば、被害者になりすませる

そういうことだったのか