专栏名称: HACK学习呀
HACK学习,专注于互联网安全与黑客精神;渗透测试,社会工程学,Python黑客编程,资源分享,Web渗透培训,电脑技巧,渗透技巧等,为广大网络安全爱好者一个交流分享学习的平台!
目录
今天看啥  ›  专栏  ›  HACK学习呀

实战 | 记一次2000美金赏金的密码重置账户接管

HACK学习呀  · 公众号  · 黑客  · 2023-02-03 09:16
记一次2000美金赏金的密码重置账户接管大家好,我是Omar Hamdy (Seaman),今天我将介绍我在Bugcrowd的私人邀请漏洞挖掘中发现的最cool的漏洞之一前言我有一个私人邀请漏洞挖掘的目标,我们称它为redacted.com,经过一段时间的信息收集,我开始检查密码重置功能,通常我会寻找像(ATO,Host Header 注入)这样的漏洞简单地说,当用户想要重设密码时,他输入他的名字和姓氏以及电子邮件。密码重置链接将发送到他的电子邮箱。我请求为我的帐户重设密码,然后拦截请求(通过Zap 代理)以仔细检查它。我发现请求是这样的:密码重置链接是:https://redacted.com/Reset?token=04294876770750到目前为止没有什么令人兴奋的,我使用了链接,更改了密码并拦截了请求,在这里我发现了一些非常有趣的东西。我发现请求是这样的:如果您查看此请求,您会发现用于重置密



文章无法展示全部,请购买VIP后 使用网页访问内容 或者 使用第三方RSS订阅工具访问内容





今天看啥 - 让阅读更高品质
本文地址:http://www.jintiankansha.me/t/ACPiqvKkdQ
阅读地址: https://www.51haodu.com/t/QUNQaXF2S2tkUQ==