故あって改めて調べたので備忘録。
セキュリティの専門家ではない為、〜らしい的な書き方が多いのはご勘弁を。自分の中では下記のように理解しています。間違っていたら誰かにツッコミ入れて欲しいところ。
http://www.sakimura.org/2012/02/1487/
どこかでトークンを取得すれば、別のサービスの認証で差し替えて使えるということを書いてくれている。カット&ペーストアタックと言うらしい。
このアタックが可能になる条件は、
「別のシステムで取得したアクセストークンであるかどうかをサーバがチェックしていない事」
なので、サーバがトークンを受け取った際に、そのトークンが本当に提供中のアプリ用に作成されたものかを調べれば良いということだ。
例えばPHPでFacebookアプリを作成しているなら下記が参考になるだろう。
http://itosho.parallel.jp/blog/blog/2012/07/26/facebook%E3%81%AEoauth%E3%81%A7%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%81%AE%E7%99%BA%E8%A1%8C%E5%85%83%E3%82%A2%E3%83%97%E3%83%AA%E3%82%92%E5%8F%96%E5%BE%97/