WooYun.org

该隐患就是，OAuth 2.0中Client-side Implicit Grant获取的access token可以用在Server-side通讯中，而且由于在访问受保护资源时无需传递app secret，而app key又是公开的，结果就由于这种“无绑定token”，导致api无法分辨合法的请求来源，而出现了问题。
（详细将在zone.wooyun.org有详文）
以腾讯的QQ登录开放平台为例，发表空间日志接口（add_one_blog）是需要高权限的。普通人申请的当然不可能有的，不过成功案例就一定有的了。看了看，点点应该是最佳选择。
到它的登录页面查看，记下其client_id：216028

接下来，就是走OAuth 2.0中Client-side Implicit Grant流程了。
首先就是根据文档：
http://wiki.opensns.qq.com/wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91%E4%BD%BF%E7%94%A8Implicit_Grant%E6%96%B9%E5%BC%8F%E8%8E%B7%E5%8F%96Access_Token
构造出如下url（scope参数猜死人啊…...）：
https://graph.qq.com/oauth2.0/authorize?response_type=token&client_id=216028&redirect_uri=http://open.z.qq.com/moc2/success.jsp&scope=get_user_info,add_one_blog,do_like,add_t,list_album
访问之：

一切顺利的话，抓包会发现回调的授权中转页会有access token：

好了，请出server-side脚本（请放置在php服务器上运行）：
http://horseluke-code.googlecode.com/svn/trunk/draftCode/oauth2_client_side_side_effect/qq_oauth2.php
填入参数，submit：