账户接管 - 第 2 | CN-SEC 中文网

安全文章

使用SSO登录实现账户接管

扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）许多公司为用户提供多种登录方式来验证他们的账户。你可能在许多网站上见过类似“使用G...

12月15日8 views评论

阅读全文

安全文章

从JS代码审计到GraphQL利用的管理账户接管

通过前期信息收集，发现一处登录页面：只有登录，没有注册、忘记密码等入口。那就试着对端点进行Fuzz看看：然后将登录请求替换为注册看看：失败。查看Wappalyze...

12月05日10 views评论

阅读全文

安全文章

bugbounty技巧-有趣的账户接管

返回包令牌直接泄露导致的账号接管在重置密码处，POST /password-reset 端点的响应中发现了一个token。用一封电子邮件向 /password-reset 端点发出了新请求，并...

11月27日12 views评论

阅读全文

安全文章

通过 API 配置错误和逻辑漏洞实现账户接管

漏洞利用只用了 20 分钟在一次安全研究中，我偶然发现了一个类似论坛的网站，决定对其进行一些探索。不久后，我发现了一个严重的漏洞。检查 Cookie 注册账号后，我像往常一样打开了开...

11月27日15 views评论

阅读全文

安全文章

Bypass Cloudflare实现账户接管：密码重置投毒漏洞

今天的文章将深入探讨一种账户接管（ATO）漏洞，并分享我是如何绕过Cloudflare的保护机制，利用密码重置流程来进行攻击的。这个过程被称为密码重置投毒（Password Reset ...

11月19日59 views评论

阅读全文

安全文章

通过有趣的逻辑漏洞实现账户接管

正文我受邀参加某公司的一个私密漏洞赏金项目。在测试时，我发现该平台采用 PIN 码登录系统，而不是传统密码。每次登录尝试时，系统会发送一个 6 位数的 PIN 码。系统设置了频率限制，防止暴力破解 P...

11月06日9 views评论

阅读全文

安全文章

通过对比数据包和重置链接，发现 2500 美元赏金的账户接管！

正文部分原文作者：https://bxmbn.medium.com/ 思路总结当网站使用邮箱发送重置链接进行重置的时候，可以尝试对比一下重置链接和数据包的关系，如果在数据包中可以获取到重置链接的信...

11月06日8 views评论

阅读全文

安全文章

漏洞挖掘 | Facebook电子邮件泄露和账户接管

扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）在进行漏洞挖掘时，我更偏好使用移动应用而非网页，因此在一月份我决定深入研究APK接...

11月04日17 views评论

阅读全文

安全工具

后渗透 | 信息收集工具

声明该公众号分享的安全工具和项目均来源于网络，仅供学术交流，请勿直接用于任何商业场合和非法用途。如用于其它用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。介绍Pillager是一个适用...

10月30日29 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/10/28】

2024-10-28 微信公众号精选安全技术文章总览洞见网安 2024-10-280x1 12.Fastjson（.NET）反序列化点前篇HW专项行动小组 2024-10-28 22:11:30本文主...

10月29日28 views评论

阅读全文

安全文章

一次URL跳转引发的账户接管

前言这本是一次简单的url跳转，就在我准备提交的时候，灵机一动.....正文这里我正常检测登录页面，发现有一个疑似可以url跳转的但是常规构造会被拦截掉这种并非防火墙，应该是对url中关键内容进行校验...

10月28日9 views评论

阅读全文

安全文章

记一次GOV的URL跳转引发的账户接管

前言这本是一次简单的url跳转，就在我准备提交的时候，灵机一动.....正文近期因为一些任务，需要cnvd，所以在gov里面进行大量的搜集测试。这里我正常检测登录页面，发现有一个疑似可以url跳转的但...

10月23日22 views评论

阅读全文

在线咨询

微信