認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム概要
- Rules を使用して、ユーザーのメールアドレスに基づいてスコープを割り当てている かつ
- アプリケーションで複数の接続を使用している
メールアドレスに基づくスコープの割り当てに関する Auth0 セキュリティ情報
不適切なカスタムRuleコードにより、認証フローに脆弱性が生じる可能性があるケース。
次の両方に該当する場合:
Auth0 では、メールアドレスは接続ごとに一意である必要があります。一方、アプリケーションごとにはそのような制限はありません。
そのため、ユーザー A が 1 つの接続を使用してアプリケーションにサインアップし、ユーザー B が別の接続を使用して同じメールアドレスで同じアプリケーションにサインアップすることが可能です。
Rules でメールアドレスに基づいてユーザーへスコープを割り当てている場合、2 人目のユーザーは別人であるにもかかわらず、1 人目のユーザーと同じスコープを付与されることになります。
最も簡単な対策は、ユーザーがサインアップ後、ログインを許可する前にメールアドレスの確認を必須にすることです。