通过 Facebook OAuth 错误配置进行账户前接管

admin 2024年10月13日14:56:00评论7 views字数 965阅读3分13秒阅读模式

在我们开始之前,我想告诉你阅读文章、技巧和其他前辈的知识分享。我阅读了很多文章,并在我的发现中使用它们。

我们先说吧,前几天,我在测试一个 BBP 时,无意间发现了这个。我的目标有一个注册页面,您可以使用电子邮件或其他方法(如 Facebook、Google、Apple 和微信)进行注册。

通过 Facebook OAuth 错误配置进行账户前接管

我单击 facebook 图标并尝试使用 Facebook 帐户注册。它被重定向到 Facebook 页面,用户可以在其中编辑我尝试注册的 target.com 的访问权限。通常我只是提交请求,什么都不做。但这次我只编辑了 target.com 姓名 和 个人资料照片 的访问权限。

通过 Facebook OAuth 错误配置进行账户前接管

然后我提交下一步按钮,target.com 提示我将电子邮件地址链接到我的帐户。我检查了是否有任何电子邮件确认。幸运的是,没有确认,但我只能链接未注册的电子邮件。如果电子邮件已注册,则需要填写密码。所以我使用了一个未注册的电子邮件地址并设置了一个强密码登录。使用非我的电子邮件成功创建了一个帐户,并且需要验证该电子邮件以提高安全性。

通过 Facebook OAuth 错误配置进行账户前接管

但是,如果电子邮件所有者使用我创建的电子邮件在 target.com 上创建帐户,该怎么办。电子邮件验证将被确认,攻击者可以使用他的 Facebook 访问电子邮件所有者帐户。

所以我使用我的 Facebook 创建了一个帐户,并使用了我的一个电子邮件地址。然后我使用我的电子邮件地址再次创建了一个帐户。当我使用电子邮件地址登录时,我使用 Facebook 登录的帐户已注销。

但是我可以再次使用 Facebook 登录,并且电子邮件现在已经验证了。我预先接管了这个账户。XD 通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

其它课程

QT开发底层原理与安全逆向视频教程(2024最新)

通过 Facebook OAuth 错误配置进行账户前接管

linux恶意软件开发对抗与基于ebpf网络安全视频教程(2024最新)

通过 Facebook OAuth 错误配置进行账户前接管

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

通过 Facebook OAuth 错误配置进行账户前接管

linux高级usb安全开发与源码分析视频教程

通过 Facebook OAuth 错误配置进行账户前接管

linux程序设计与安全开发

通过 Facebook OAuth 错误配置进行账户前接管

  • windows恶意软件开发与对抗视频教程

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • windows

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • windows()

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • USB()

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • ()

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • ios

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • windbg

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • ()

  • 通过 Facebook OAuth 错误配置进行账户前接管通过 Facebook OAuth 错误配置进行账户前接管通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

  • 通过 Facebook OAuth 错误配置进行账户前接管

原文始发于微信公众号(安全狗的自我修养):通过 Facebook OAuth 错误配置进行账户前接管

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日14:56:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过 Facebook OAuth 错误配置进行账户前接管https://cn-sec.com/archives/3261610.html

发表评论

匿名网友 填写信息