安全漏洞:使用Apple登录

安全漏洞:使用Apple登录

作者: 涛哥     发布于「 值得一看 」 - 筱涛web之路

2020-6-9 分类: 值得一看 阅读(216)评论(0)
当前位置:首页 > 值得一看 > 正文

作者: 涛哥

全网最全的网络资源分享网站

手机扫码查看

标签:

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

这篇文章解释了最近宣布的“使用Apple登录”功能的安全漏洞,以及一些经验教训。

什么是使用Apple登录?

您可能已经看到很多网站和移动应用程序,它们使您可以通过Google,Facebook或Twitter“登录/登录”。“使用Apple登录”是对同一组身份验证提供程序的补充。用这种方法,用户不需要在每个单独的网站上创建一个帐户。相反,他们可以简单地使用谷歌,Facebook,Twitter或苹果现有的帐户来访问3 党的网站。这就是所谓的3 在党的标志。这个网站被称为3 聚会,因为前两个当事方是用户和谷歌一样的身份验证提供者。

这些网站的好处在于,它们可以利用科技巨头所制定的高级安全协议。另外,它们避免了在自己的网站上自行构建任何身份验证机制的开销。 

什么是JWT?与Apple登录有什么帮助?

JWT(JSON网络令牌)是实现这种3机制RD党的登入。简单地说,在3 聚会的网站/移动应用程序,当用户选择“登录与苹果”的选项,他们将被重定向到苹果公司的登录页面。用户登录到Apple(通过密码,安全模式,安全代码,指纹或Face ID)登录后,Apple会向用户发布称为JWT令牌的内容。这JWT令牌是什么是允许访问3 第三方的应用。登录与苹果公司用于其3此JWT令牌办法RD党的登入。

什么是脆弱的?

一个错误赏金猎人确定了苹果的3瑕疵RD党的登录机制。漏洞是苹果公开了一个URL(或它的变体),该URL将仅基于电子邮件地址返回JWT令牌,而没有其他要求。这不是用于JWT令牌生成的核心URL,而是孤立的URL。尽管核心URL执行了所有检查,但易受攻击的URL并未执行。所以,只要你刚才的用户的电子邮件地址,您将能够访问3 使用JWT令牌第三方应用程序。 

这个漏洞允许访问只有3 党的应用程序,而不是任何苹果自己的网站。

苹果如何声称没有滥用?

幸运的是,日志记录是在孤立URL的流中实现的。这样,如果滥用此安全漏洞,Apple便可以进行调和。非常感谢,没有这种滥用。

得到教训

  1. 实际上,这里的问题是部署了未经测试的URL。这可能是因为:       

    1. 该URL根本不应该部署。可能是错误部署的临时开发人员测试URL。这强调了需要验证将要部署的URL列表,以确保未部署任何未经测试的URL。
    2. 生成JWT令牌的实际URL缺少否定测试。此处缺少的否定情况是仅使用电子邮件地址来请求JWT令牌。

  2. 尽管存在缺陷,但保护苹果公司声誉的一个方面证明没有滥用此漏洞。因此,也需要为所有公开的URL提供适当的日志。

分享到:
未经允许不得转载:

作者: 涛哥, 转载或复制请以 超链接形式 并注明出处 筱涛web之路
原文地址: 《安全漏洞:使用Apple登录》 发布于2020-6-9

评论

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

Sitemap