a.邮件地址验证绕过-1
-
使用受害者邮箱注册账户,我们无法使用受害者邮箱的验证链接 -
登录应用程序,将邮件地址更改为攻击者邮箱,重新发送验证链接,并且进行验证。 -
再次将邮件地址更改回受害者邮箱,显示受害者邮箱已验证。 因此,邮件地址校验被绕过。
危害:可以使用受害者邮箱进行注册
b.邮件地址验证绕过-2
-
使用攻击者邮箱创建一个账户,并且不要点击邮箱收到的验证链接。
-
将邮箱地址更改为受害者邮箱。
-
现在进入攻击者邮箱点击验证链接。
-
如果受害者的电子邮件得到验证,则绕过了验证。
危害:可以使用受害者邮箱进行注册
c.不同客户端重复注册绕过
-
在web端使用邮件注册,上传私密信息。
-
在安卓或者苹果端使用相同邮件不同密码注册。
-
测试是否能看见web端私密信息。
危害:账户接管
OVO~
原文始发于微信公众号(Rsec):Bug Bounty Tips 0003
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论