这个漏洞是关于我如何能够接管任何用户帐户没有任何互动只是通过使用一个新的功能，大多数组织的不实现。让我给予你一个很好的理解目标和它的功能。

假设目标是**target.com,**，这是一个视频学习平台，您可以上传有关任何课程或培训的target.com目标是拥有许多不同的功能，包括团队管理和邀请用户加入团队。所以一旦我们邀请某人加入我们的团队。我们也可以编辑用户的信息和更改密码。

需要注意的一点是，每当创建一个新用户时，都会分配一个唯一的userid，该userid实际上是连续的，并且很容易被猜到。他们实现了这一点，因为用户分享他们的视频，并使这个过程简单，易于记住的个人资料链接。

所以你们都必须知道，每当有一个邀请用户功能和团队管理功能。我们甚至可以管理和编辑邀请用户的信息，有时也可以更改他们的密码。但这里有一个额外的功能，这是“复制重置密码链接”.这个按钮的作用是复制被邀请用户的重置密码链接。这就像使用密码重置功能，但在这里团队经理可以复制它的邀请用户的重置密码链接。

后台到底发生了什么？当我们点击该按钮时，一个请求被发送到服务器，要求该用户的重置密码链接，服务器响应该链接，然后复制到我们的剪贴板。

区别

 你一定在想，这个功能和正常的重置密码功能有什么区别？主要的区别是，当我们使用重置密码功能时，服务器只响应“密码重置链接在电子邮件中发送”。但是在这个端点中，链接是由服务器在响应中发送的。我立刻想到这可能是一个存在漏洞的案例。

方法学

我记下了一些东西，我认为可能会有帮助，即用户ID的一些用户（包括邀请和非邀请用户）和请求时，我们点击复制密码重置链接。它看起来像这样

请求端点为 : target.com/json/reply/GetResetPasswordLinkRequest?userid=<id>.

1 起初，我想改变userid参数为别人的用户id参数，即不是邀请用户，而是非邀请用户或其他管理员的userid。

2 我修改了请求中的用户ID并发送了请求。对此，我认为它应该抛出一个未经授权的错误，但它却向我发送了密码重置链接作为回应。

当用户ID被未经授权更改时的响应 3.我无法相信，并得到了这么高兴，这是一个帐户接管只是通过用户ID。我想尽快使用这个链接，并展示完整的影响。但是当我打开链接，输入新密码并点击提交时，它显示了一个错误。

4.这一切都是关于几分钟的喜悦，现在它显示了一个错误。所以我认为他们有一些实现来防止这种情况。

重要的部分来了：

在这个错误之后，通常研究人员只是转向其他方法或测试其他功能，认为这不起作用。但在这里，我所做的是试图登录到受害者帐户与旧密码.和它实际上显示了我不正确的密码。

我立即输入了我在链接中使用的新密码，登录成功。那么到底发生了什么？即使密码重置链接显示此错误，密码实际上是在后台更改的。这只是前端的一个错误。

我立即尝试更改该平台上其他帐户的密码，因为用户ID是公开可见的。我实际上能够更改博客帐户的密码，该组织正在发布博客内容，并以这种方式显示影响。

该组织，立即实施了必要的修复，并告诉我等待，因为他们正在做一些其他重大修复太多。他们根据他们的赏金等级给了我$$$$ 。

提示和要点：有时候，即使错误出现在你的路上，也要重新验证你试图做出的更改。我们可能会错过很多东西，如果没有验证。

在响应中任何敏感信息可见的地方，始终注意端点。