Zero-day ใน Sign in with Apple
(bhavukjain.com)-
รีวิวจากผู้ที่พบบั๊กใน "ลงชื่อเข้าใช้ด้วย Apple" และได้รับเงินรางวัลจาก Apple 100,000 ดอลลาร์ (120 ล้านวอน)
-
เป็นบั๊กที่สามารถขโมยบัญชีเว็บ/แอปได้ หากรู้เพียงแค่อีเมล
-
ระหว่างการร้องขอ JWT หากมีการลงลายเซ็นด้วย public key ของ Apple ก็สามารถสร้างโทเคนได้แม้จะใส่อีเมลอื่นก็ตาม
ยังไม่มีความคิดเห็น