MASWE-0038: 认证令牌未经验证
占位符漏洞
此缺陷尚未创建,它是一个占位符。但您可以查看其状态,或自行开始处理。如果问题尚未分配,您可以请求分配给您,并按照我们的指南提交包含该缺陷新内容的 PR。
查看我们在 GitHub Issues 上的 MASWE-0038
初始描述或提示¶
例如 OAuth2/JWT 客户端检查
相关主题¶
- 代码授权 (code grant)
- 过期 (expiration)
- 无算法 (none algorithm)
- PKCE
- 隐式授权 (implicit grant)
参考资料¶
- https://developers.google.com/identity/sign-in/android/backend-auth#verify-the-integrity-of-the-id-token
- https://developers.google.com/identity/protocols/oauth2/openid-connect#validatinganidtoken
- https://developer.apple.com/documentation/sign_in_with_apple/generate_and_validate_tokens
MASTG v1 覆盖范围¶
MASTG v1 中没有与此弱点相关的测试。