账户接管 - 第 3 | CN-SEC 中文网

安全文章

通过有趣的逻辑漏洞实现账户接管

正文我受邀参加某公司的一个私密漏洞赏金项目。在测试时，我发现该平台采用 PIN 码登录系统，而不是传统密码。每次登录尝试时，系统会发送一个 6 位数的 PIN 码。系统设置了频率限制，防止暴力破解 P...

11月06日16 views评论

阅读全文

安全文章

通过对比数据包和重置链接，发现 2500 美元赏金的账户接管！

正文部分原文作者：https://bxmbn.medium.com/ 思路总结当网站使用邮箱发送重置链接进行重置的时候，可以尝试对比一下重置链接和数据包的关系，如果在数据包中可以获取到重置链接的信...

11月06日14 views评论

阅读全文

安全文章

漏洞挖掘 | Facebook电子邮件泄露和账户接管

扫码领资料获网安教程来Track安全社区投稿~ 赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）在进行漏洞挖掘时，我更偏好使用移动应用而非网页，因此在一月份我决定深入研究APK接...

11月04日22 views评论

阅读全文

安全工具

后渗透 | 信息收集工具

声明该公众号分享的安全工具和项目均来源于网络，仅供学术交流，请勿直接用于任何商业场合和非法用途。如用于其它用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。介绍Pillager是一个适用...

10月30日36 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/10/28】

2024-10-28 微信公众号精选安全技术文章总览洞见网安 2024-10-280x1 12.Fastjson（.NET）反序列化点前篇HW专项行动小组 2024-10-28 22:11:30本文主...

10月29日38 views评论

阅读全文

安全文章

一次URL跳转引发的账户接管

前言这本是一次简单的url跳转，就在我准备提交的时候，灵机一动.....正文这里我正常检测登录页面，发现有一个疑似可以url跳转的但是常规构造会被拦截掉这种并非防火墙，应该是对url中关键内容进行校验...

10月28日13 views评论

阅读全文

安全文章

记一次GOV的URL跳转引发的账户接管

前言这本是一次简单的url跳转，就在我准备提交的时候，灵机一动.....正文近期因为一些任务，需要cnvd，所以在gov里面进行大量的搜集测试。这里我正常检测登录页面，发现有一个疑似可以url跳转的但...

10月23日30 views评论

阅读全文

安全文章

通过域混淆绕过实现账户接管

由于这是一个私有项目，我将使用 example.com 来代替。很长一段时间以来，我一直想在漏洞赏金项目中找到一个账户接管（ATO）漏洞。于是，我开始探索项目范围内的 account.example...

10月22日19 views评论

阅读全文

安全文章

从2FA绕过到账户接管

前言redacted.com是一个管理物联网项目、云解决方案、设备等的平台，其允许在一个用户账户下创建多个账户，并在知道其它用户电子邮件地址的情况下邀请他们加入项目。该网站支持灵活的账户注册，但每次注...

10月21日22 views评论

阅读全文

安全新闻

CVE-2024-45693：Apache CloudStack：请求来源验证绕过使账户接管成为可能

严重程度：重要受影响的版本：Apache CloudStack 4.15.1.0 至 4.18.2.3Apache CloudStack 4.19.0.0 至 4.19.1.1描述：由于缺少对请求来源...

10月16日22 views评论

阅读全文

安全文章

绕过CSP实现零点击账户接管

扫码领资料获网安教程来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）介绍在最近的一个项目中，我遇到了一些看似不太严重的漏洞。然而，令人惊讶的是，当这些问...

10月14日21 views评论

阅读全文

安全文章

利用XSS、OAuth配置错误实现token窃取及账户接管 (ATO)

正文目标：target.com 在子域sub1.target.com上，我发现了一个XSS漏洞。由于针对该子域的漏洞悬赏较低，我希望通过此漏洞将攻击升级至app.target.com，...

10月09日47 views评论

阅读全文

在线咨询

微信