Zero-day dans Sign in with Apple
(bhavukjain.com)<p>- Retour d’expérience de la personne qui a découvert un bug dans « Se connecter avec Apple » et a reçu une prime de 100 000 dollars (120 millions de wons) d’Apple<br />
- Un bug permettant de détourner un compte web/app rien qu’en connaissant l’adresse e-mail<br />
- Lors d’une requête JWT, si la signature était faite uniquement avec la clé publique d’Apple, un token était généré même en insérant une autre adresse e-mail</p>
Aucun commentaire pour le moment.