Zero-day in Sign in with Apple
(bhavukjain.com)- "Apple로 로그인" 버그를 찾아서 애플한테 10만불(1.2억) 상금 받은 사람의 후기
- 이메일 주소만 알면 웹/앱 계정을 훔칠수 있는 버그
- JWT요청시에 애플의 퍼블릭키로만 서명되면 다른 이메일 주소를 넣어도 토큰이 생성
- "Apple로 로그인" 버그를 찾아서 애플한테 10만불(1.2억) 상금 받은 사람의 후기
- 이메일 주소만 알면 웹/앱 계정을 훔칠수 있는 버그
- JWT요청시에 애플의 퍼블릭키로만 서명되면 다른 이메일 주소를 넣어도 토큰이 생성