- 被害者のアカウントでログインします
- http://community.nasdaq.com/manage-connections.aspx
- Email Address: nasdaq.victim@yahoo.com
- Password: hogehoge
- http://community.nasdaq.com/manage-connections.aspx
- その状態で http://ido.nu/ayaya/nasdaq.html を踏む
- 攻撃者として Facebook でログインしてみます
- 普通に入れる
- 試した後は解除してくださいね
- 暑いので解説は後日
- とりあえずこういうケースは state パラメータか、redirect_uri に何か付けないとダメです