GS
Куда не плюнь, везде хацкеры кого-то ломают!)
Size: a a a
2020 May 31
P
Шах и Мат, Шароверы!
P
नमस्ते
S
Ты группой не ошибся?
AK
Ребята, а перечитал обзор по баге в sso apple 3 раза, но все равно не понял механики эксплуатации.
> I found I could request JWTs for any Email ID from Apple and when the signature of these tokens was verified using Apple’s public key, they showed as valid. This means an attacker could forge a JWT by linking any Email ID to it and gaining access to the victim’s account.
Он наугад выбирает ящик и получает по нему jwt, а дальше ... — если он подписан (как jwt может быть не подписан?) хрень какая-то.
> I found I could request JWTs for any Email ID from Apple and when the signature of these tokens was verified using Apple’s public key, they showed as valid. This means an attacker could forge a JWT by linking any Email ID to it and gaining access to the victim’s account.
Он наугад выбирает ящик и получает по нему jwt, а дальше ... — если он подписан (как jwt может быть не подписан?) хрень какая-то.
Z
Ребята, а перечитал обзор по баге в sso apple 3 раза, но все равно не понял механики эксплуатации.
> I found I could request JWTs for any Email ID from Apple and when the signature of these tokens was verified using Apple’s public key, they showed as valid. This means an attacker could forge a JWT by linking any Email ID to it and gaining access to the victim’s account.
Он наугад выбирает ящик и получает по нему jwt, а дальше ... — если он подписан (как jwt может быть не подписан?) хрень какая-то.
> I found I could request JWTs for any Email ID from Apple and when the signature of these tokens was verified using Apple’s public key, they showed as valid. This means an attacker could forge a JWT by linking any Email ID to it and gaining access to the victim’s account.
Он наугад выбирает ящик и получает по нему jwt, а дальше ... — если он подписан (как jwt может быть не подписан?) хрень какая-то.
Z
Может как то так...
CS
начните вот отсюда https://github.com/DC7499/kb/blob/master/beginners.md
на удивление максимально бесполезная подборка
AK
ну если Нолик разобрался, я пойду дальше двор мести
Z
ну если Нолик разобрался, я пойду дальше двор мести
Я не разобрался, я даже хз что там с ссо у ейпл
Z
И вообще пофиг;)))
AK
там олигополия, если ты на iOS приложении делаешь авторизацию через соц.сети, то с осени обязан вдендять их sso к себе.
Z
Ого
AK
ну как бы можешь не внедрять, но тогда и они обязательства по размещению приложиения в appstore с себя снимают — свобода как она есть
q
на удивление максимально бесполезная подборка
Накидайте полезных ссылок для новичков. Часто спрашивают
CS
что есть новичок? в плане это вообще человек ничего не знает?
CS
есть вот отличная инфографика
https://i.lensdump.com/i/iYjWfT.png
https://i.lensdump.com/i/iYjWfT.png
CS
ну наверно тогда как-то в таком порядке
https://cs50.harvard.edu/x/2020/
https://www.coursera.org/specializations/intro-cyber-security тут рекомендуют к прочтению TCPIP Illustrated, Volume 1, но для неподготовленного сложна к пониманию, можно начать с Computer Networking A Top-Down Approach
https://www.coursera.org/learn/crypto
Network+
линукс сертификация на выбор
https://www.edx.org/micromasters/ritx-cybersecurity
ну и дальше плясать от сертификаций и направления
https://cs50.harvard.edu/x/2020/
https://www.coursera.org/specializations/intro-cyber-security тут рекомендуют к прочтению TCPIP Illustrated, Volume 1, но для неподготовленного сложна к пониманию, можно начать с Computer Networking A Top-Down Approach
https://www.coursera.org/learn/crypto
Network+
линукс сертификация на выбор
https://www.edx.org/micromasters/ritx-cybersecurity
ну и дальше плясать от сертификаций и направления
CS
по питону отличная специализация есть от мфти
https://www.coursera.org/specializations/programming-in-python
https://www.coursera.org/specializations/programming-in-python
