安全漏洞：使用Apple登录

这篇文章解释了最近宣布的“使用Apple登录”功能的安全漏洞，以及一些经验教训。

什么是使用Apple登录？

您可能已经看到很多网站和移动应用程序，它们使您可以通过Google，Facebook或Twitter“登录/登录”。“使用Apple登录”是对同一组身份验证提供程序的补充。用这种方法，用户不需要在每个单独的网站上创建一个帐户。相反，他们可以简单地使用谷歌，Facebook，Twitter或苹果现有的帐户来访问3 ^次党的网站。这就是所谓的3 ^次在党的标志。这个网站被称为3 ^次聚会，因为前两个当事方是用户和谷歌一样的身份验证提供者。

这些网站的好处在于，它们可以利用科技巨头所制定的高级安全协议。另外，它们避免了在自己的网站上自行构建任何身份验证机制的开销。 

什么是JWT？与Apple登录有什么帮助？

JWT（JSON网络令牌）是实现这种3机制^RD党的登入。简单地说，在3 ^次聚会的网站/移动应用程序，当用户选择“登录与苹果”的选项，他们将被重定向到苹果公司的登录页面。用户登录到Apple（通过密码，安全模式，安全代码，指纹或Face ID）登录后，Apple会向用户发布称为JWT令牌的内容。这JWT令牌是什么是允许访问3 ^次第三方的应用。登录与苹果公司用于其3此JWT令牌办法^RD党的登入。

什么是脆弱的？

一个错误赏金猎人确定了苹果的3瑕疵^RD党的登录机制。漏洞是苹果公开了一个URL（或它的变体），该URL将仅基于电子邮件地址返回JWT令牌，而没有其他要求。这不是用于JWT令牌生成的核心URL，而是孤立的URL。尽管核心URL执行了所有检查，但易受攻击的URL并未执行。所以，只要你刚才的用户的电子邮件地址，您将能够访问3 ^次使用JWT令牌第三方应用程序。 

这个漏洞允许访问只有3 ^次党的应用程序，而不是任何苹果自己的网站。

苹果如何声称没有滥用？

幸运的是，日志记录是在孤立URL的流中实现的。这样，如果滥用此安全漏洞，Apple便可以进行调和。非常感谢，没有这种滥用。

得到教训

1. 实际上，这里的问题是部署了未经测试的URL。这可能是因为：       

   1. 该URL根本不应该部署。可能是错误部署的临时开发人员测试URL。这强调了需要验证将要部署的URL列表，以确保未部署任何未经测试的URL。

   2. 生成JWT令牌的实际URL缺少否定测试。此处缺少的否定情况是仅使用电子邮件地址来请求JWT令牌。

2. 尽管存在缺陷，但保护苹果公司声誉的一个方面证明没有滥用此漏洞。因此，也需要为所有公开的URL提供适当的日志。