1
kk2syc 103 天前
问题不大,有双重验证偷不了什么
|
2
drymonfidelia OP @kk2syc 双重验证后也是生成 cookies ,xss 可以直接用你验证完的身份操作
|
3
kk2syc 103 天前
@drymonfidelia 怎么过不同 ip 和浏览器的问题呢?敏感操作没办法直接 api 操作。
|
4
drymonfidelia OP |
5
drymonfidelia OP @drymonfidelia 那个密码是用于改绑定手机号的,如果不改手机号甚至不需要密码。
|
6
billccn 103 天前
关键这个 bug 也太低级了,苹果这么大的公司竟然 PR 和扫描器都没有发现这个漏洞?
|
7
MossFox 102 天前
这个只提到可以塞 HTML Tag ,没提到有脚本注入吧
|
8
drymonfidelia OP @MossFox
don't sanitize html in the discussion title 很大概率能塞脚本了 @billccn 苹果的安全性我一直很怀疑,之前旧设备实现两步验证登录只需要把 6 位验证码写在账号密码结尾就可以登录,从技术上来讲要实现这个功能必须要明文传密码(如果要加密,必须在服务端能获取密码明文),我就去查了下别人逆向出来的 Apple ID 登录协议,原来从 HTTP 时代 Apple 就在明文传 Apple ID 密码了,连个加密都没有 https://github.com/majd/ipatool/blob/6597f5ac77a9e2323529604feaac6ba29c73366b/pkg/appstore/appstore_login.go#L63 这个是新的有 https ,但是还是明文传密码 |