Lỗ hổng zero-day trong Sign in with Apple
(bhavukjain.com)<p>- Chia sẻ của người đã tìm ra lỗi trong "Đăng nhập bằng Apple" và nhận thưởng 100.000 USD (120 triệu won) từ Apple<br />
- Lỗi cho phép chiếm đoạt tài khoản web/app nếu chỉ biết địa chỉ email<br />
- Khi gửi yêu cầu JWT, nếu chỉ cần được ký bằng public key của Apple thì token vẫn được tạo ngay cả khi chèn một địa chỉ email khác</p>
Chưa có bình luận nào.