密码重置所导致的账户劫持

admin
admin
admin
102776
文章
87
评论
2024年2月15日15:11:37评论7 views字数 298阅读0分59秒阅读模式

密码重置所导致的账户劫持

正文

这里使用了Burpsuite和Ngrok(Ngrok是一个反向代理,为开源的)

尝试请求受害者帐户的重置密码功能,在 Burp 中捕获请求并在forward之前编辑这个请求,

在原始主机下方的请求中添加了另一个带有 Ngrok url 的主机标头。

密码重置所导致的账户劫持

在发送编辑的 POST 请求后,受害者将收到一个重置密码链接,该链接将在 URL(攻击者控制的域)中具有 ngrok

密码重置所导致的账户劫持

一旦受害者访问收到的链接,重置令牌就会在攻击者控制的服务器上泄露。

密码重置所导致的账户劫持

受害者的密码重置令牌在攻击者控制的服务器上泄露,现在可以使用它来更改密码,从而接管受害者的整个帐户。

原文始发于微信公众号(迪哥讲事):密码重置所导致的账户劫持

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日15:11:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   密码重置所导致的账户劫持https://cn-sec.com/archives/2191991.html

发表评论

匿名网友 填写信息