首页 > 其他分享 >【网络安全 | 漏洞挖掘】通过有趣的逻辑漏洞实现账户接管

【网络安全 | 漏洞挖掘】通过有趣的逻辑漏洞实现账户接管

时间:2024-11-09 12:18:40浏览次数:5  
标签:网络安全 PIN 登录 账号 接管 子域 漏洞 邮箱

未经许可,不得转载。

文章目录

正文

我受邀参加某公司的一个私密漏洞赏金项目。在测试时,我发现该平台采用 PIN 码登录系统,而不是传统密码。每次登录尝试时,系统会发送一个 6 位数的 PIN 码。

img

系统设置了频率限制,防止暴力破解 PIN 码。

同时我发现,每次更改账号邮箱后,系统会自动将我登出。为了重新登录,我需要使用新邮箱接收到的 PIN 码。

我进一步测试时,发现该平台还有一个子域,使用相同的账号凭据也可以登录。我尝试在主域和这个子域上同时保持登录状态。然而,每当我在任一会话中尝试更改邮箱后,系统会强制登出两个域的会话。

在探索平台时,我发现该平台还提供一种企业服务,能够提供额外功能。接着,我创建了一个新的企业账号,并将我的个人账号邀请为这个企业账号的管理员。

img

现在,

标签:网络安全,PIN,登录,账号,接管,子域,漏洞,邮箱
From: https://blog.csdn.net/2301_77485708/article/details/143571987

相关文章

  • 【网络安全 | 漏洞挖掘】超出范围的域名存在XSS?我是这样提高危害的
    未经许可,不得转载。文章目录正文正文XSS漏洞有时会被忽视,尤其是当域超出范围时。然而,当这种漏洞与跨域资源共享(CORS)配置不当相结合时,它们可能会成为安全项目范围内的有效漏洞,从而有资格获得奖励。为了更好地解释这一点,我将举一个真实的例子,该例子来自我在H......
  • 星河飞雪网络安全-Linux基础篇
    声明        学习视频笔记均来自B站UP主" 泷羽sec",如涉及侵权马上删除文章        笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负        本文主要用做技术分享,所有内容仅供参考......
  • OSSFileBrowse:OSS存储桶遍历漏洞利用工具
    简介:由于经常遇到存储桶遍历漏洞,直接访问文件是下载,不方便预览,且甲方要求证明该存储桶的危害,因此该工具应运而生。使用javafx做图形化,kkFileView做文件预览接口。使用:命令行运行:java-Dfile.encoding=UTF-8-jarOSSFileBrowse-1.0-SNAPSHOT.jar或者直接点击run.bat文件。......
  • 4舍5入支付漏洞
     余额都是保留到分(也就是0.00)有些网站可能会更精确但是有的网站开放者挺聪明的会设置最低支付如果含有最低支付我们接下来就无法进行那么如果我们充值0.001会怎么样呢支付宝报错因为第三方支付是只能充值到分的 0.019试一下 看到显示的是0.01后面的9直接忽略了,因......
  • SQL语法与SQL注入漏洞の入门(第三周)
    基础知识一、SQL语言 •定义:  •SQL是结构化查询语言(StructuredQueryLanguage)的简称,是一种在关系型数据库中定义和操纵数据的标准语言。 •特点: •非过程化语言,没有分支、循环结构,通过几个命令动词就可以实现对数据库以及数据的查询和管理。 •统一的语......
  • MS15-034 HTTP.sys 远程执行代码漏洞(原理扫描)/KB3021910、 KB2919355、KB3042553下
     KB3021910:https://www.microsoft.com/zh-cn/download/details.aspx?id=46824KB2919355:https://www.microsoft.com/zh-CN/download/details.aspx?id=42334KB3042553:https://www.microsoft.com/zh-CN/download/details.aspx?id=46500 MS15-034是一个严重的安全漏洞,它影响......
  • 网络安全知识点梳理(期末不挂科)
    目录第一章漏洞类型一、操作系统漏洞二、网络协议漏洞三、数据库漏洞四、网络服务漏洞第二章 OSI网络安全体系一、OSI参考模型回顾二、OSI网络安全体系第三章 网络安全机制一、网络访问控制二、数据加密与保护三、威胁情报与安全分析四、虚拟化和容器安全五......
  • 网络安全:CTF入门必备之题型介绍
    CTF 题目类型一般分为Web渗透、RE逆向、Misc杂项、PWN二进制漏洞利用、Crypto密码破译。一、Web类题目在传统的CTF线上比赛中,Web类题目是主要的题型之一,相较于二进制、逆向等类型的题目,参赛者不需掌握系统底层知识;相较于密码学、杂项问题,不需具特别强的编程能力,故入门......
  • 网络安全(黑客技术)—2024自学手册
    ......
  • 2024最新网络安全学习路线(完整版)_网络安全2024 学习路径
    ......