🔐

OneKey OAuth Security Tester 授权渗透测试

测试目标:https://auth.onekey.so  ·  Supabase PKCE OAuth redirect_to 白名单验证(Apple / Google)

redirect_to 白名单绕过测试
本页面作为非官方 redirect_to 目标,验证 Supabase 是否在授权阶段拒绝未注册的回调地址。
测试方式:PKCE + OAuth 完整流程,授权码若回流到本页面即证明白名单无效。
当前配置 Supabase:https://auth.onekey.so
Anon Key:eyJhbGciOiJIUzI1NiIs... (authConsts.ts:202)
redirect_to:(读取中)
Provider:apple
1
生成 PKCE 参数并发起 OAuth
本地生成 code_verifier(64字节随机) → SHA-256 得到 code_challenge, 然后跳转至 Supabase 授权端点。