Комментарии 7
сама Apple не уловила такой критический баг в процессе разработки и тестированияНу если они за этот год сэкономили на тестировщиках больше 100 тыс., то они в плюсе.
Или как я сэкономил $ 100 000
Бхавук Джайн мои деньги не получит точно, потому что в моей системе голосований все правильно — открытый ключ он на то и открытый, что его видят все, но я то пользуюсь для себя закрытым ключом!
Вот только до сих пор не знаю куда б свою систему защиты входа на сайт применить, я же не Эпл и не банк :)))
Захабрят ли меня только лишь за то, что покажу свое demo без детального описания всей системы?
Бхавук Джайн мои деньги не получит точно, потому что в моей системе голосований все правильно — открытый ключ он на то и открытый, что его видят все, но я то пользуюсь для себя закрытым ключом!
Вот только до сих пор не знаю куда б свою систему защиты входа на сайт применить, я же не Эпл и не банк :)))
Захабрят ли меня только лишь за то, что покажу свое demo без детального описания всей системы?
Почему бы не написать статью?
Статью написал, ожидаю «песочницу».
Мое demo — nocors.000webhostapp.com/forum2020/index.php
(предупреждение: не пытайтесь сразу что то изучать в/на странице под катом — один неверный запрос=бан на сутки для «замедления» изучающих, сначала просто посмотрите саму страницу, там контента совсем немного, исключительно для проверки что все работает).
Мое demo — nocors.000webhostapp.com/forum2020/index.php
(предупреждение: не пытайтесь сразу что то изучать в/на странице под катом — один неверный запрос=бан на сутки для «замедления» изучающих, сначала просто посмотрите саму страницу, там контента совсем немного, исключительно для проверки что все работает).
Изучил я этот баг — он не эксплуатируемый. Дисклеймер — я автор sakurity.com/oauth и знаю безопасность оауса хорошо
Имейл в токене может быть любым и это не круто, но никак не поможет войти в сторонние приложения типа айрбнб, просто потому что они полагаются на уникальный айди а не на имейл. Имейлы меняются и документация специально подчеркивает что их использовать не стоит. У фейсбук коннекта те же правила.
Подробнее — twitter.com/homakov/status/1267866792820649985
Человек тыкался в пост запросах, нашел отсутствие проверки на принадлежность почты а кто то в эпл долго не разбираясь отдали ему 100к для пиара. Другого объяснения я не вижу.
Имейл в токене может быть любым и это не круто, но никак не поможет войти в сторонние приложения типа айрбнб, просто потому что они полагаются на уникальный айди а не на имейл. Имейлы меняются и документация специально подчеркивает что их использовать не стоит. У фейсбук коннекта те же правила.
Подробнее — twitter.com/homakov/status/1267866792820649985
Человек тыкался в пост запросах, нашел отсутствие проверки на принадлежность почты а кто то в эпл долго не разбираясь отдали ему 100к для пиара. Другого объяснения я не вижу.
Так ведь отсутствие проверки было на стороне apple. Уязвимость — критическая. А то, что ее не нашли до сих пор — это же вопрос последний.
Вспомнилось, что было что-то похожее пару лет назад. Но там суть была в том, что имея доступ к аккаунту пользователя какого-то oauth-провайдеру (linkedin, fb уже не помню точно), можно было получить доступ к сервису, где атакуемый аккаунт имел тот-же емейл, что и аккаунт oauth, но никогда не пользовался последним. Может это было в какой-то из ваших статей.
Вспомнилось, что было что-то похожее пару лет назад. Но там суть была в том, что имея доступ к аккаунту пользователя какого-то oauth-провайдеру (linkedin, fb уже не помню точно), можно было получить доступ к сервису, где атакуемый аккаунт имел тот-же емейл, что и аккаунт oauth, но никогда не пользовался последним. Может это было в какой-то из ваших статей.
В моих статьях конкретно этого не было, но это очевидно что нельзя разрешать левым провайдерам входить по имейлу юзеров которые об этих провайдерах даже неслышали. Пример admin@site.com, он уж точно не хочет чтобы эпл вошел в его админку.
Уязвимость НЕ критическая а косметическая. Ни для юзеров которые вошли через эпл (тк каноническая имплементация смотрит на sub aka apple_user_id) ни для юзеров которые не пользовались эплом (тут сервис сам себе буратино если разрешил войти эплу в чужой аккаунт).
Ни в одном из сценарий эпл не нарушил ранее обещанную модель безопасности. Только кривые имплементации тут виноваты и должны платить. Найти такие не составит труда например зарегайтесь с одним имейлом в саундклауде и эпле потом войдите через эпл в саундклауд. Пароль не требуется = виноват саундклауд. Эпл максимум 5к должен был отсягнуть за этот косметический баг. Просто он состоит из двух сторон, где саундклауды виноваты на самом деле.
Уязвимость НЕ критическая а косметическая. Ни для юзеров которые вошли через эпл (тк каноническая имплементация смотрит на sub aka apple_user_id) ни для юзеров которые не пользовались эплом (тут сервис сам себе буратино если разрешил войти эплу в чужой аккаунт).
Ни в одном из сценарий эпл не нарушил ранее обещанную модель безопасности. Только кривые имплементации тут виноваты и должны платить. Найти такие не составит труда например зарегайтесь с одним имейлом в саундклауде и эпле потом войдите через эпл в саундклауд. Пароль не требуется = виноват саундклауд. Эпл максимум 5к должен был отсягнуть за этот косметический баг. Просто он состоит из двух сторон, где саундклауды виноваты на самом деле.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Apple заплатила хакеру $100 000 за обнаруженный 0day в системе авторизации «Вход с Apple»