未经许可,不得转载。
文章目录
- 前言
- 正文
- 漏洞案例
- 修复建议
前言
Auth0 是一个广泛用于网站和应用程序的身份验证平台,负责管理用户身份并确保其服务的安全访问。该平台提供了多种工作流程,以无缝集成登录和注册流程。
在 Auth0 中创建新应用时,注册选项默认启用。当系统禁用注册功能但仍采用 Auth0 时,仍然能绕过此限制,实现恶意注册、登录的风险。
正文
通过研究 Auth0 身份验证 API 文档,我们发现了一个允许用户通过 POST 请求向 /dbconnections/signup
端点注册的接口。该端点需要以下参数:
client_id: 请求访问 Auth0 服务的应用程序的唯一标识符。
connection: 指定用于身份验证的身份提供者。