原文:https://github.com/langgenius/dify/issues/18114瞎逛GitHub的时候发现dify新出一个漏洞,任意密码重置实现任意用户接管。通过调用api完成任意...
利用主机头注入来进行账户劫持
业务背景这是一个密码重置功能。复现步骤打开密码重置链接: https://login.newrelic.com/passwords/forgot输入受害者的电子邮件地址,然后单击重置和电子邮件密码在B...