通过混淆手段进行账户劫持
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
关联业务
1.应用程序允许用户A邀请其他用户B到他的组织
2.用户A可以要求他邀请的帐号重置密码
3.用户B在邮件中收到reset token链接
POC
-
用户A邀请用户B到他所创建的实例,其中用户B是他的第二个电子邮件地址
-
用户A要求用户B重置密码
-
用户B打开重置链路并等待
-
用户A将用户B的邮件编辑改为受害者的邮件
-
重置密码令牌对受害者生效
原文始发于微信公众号(迪哥讲事):通过混淆手段进行账户劫持
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论