漏洞挖掘365天挑战——Day035:漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB subdomain.

报告链接:https://hackerone.com/reports/1404612

报告分析

tiktok smb 这个子域下,存在IDOR,直接修改u_id就可以访问账户,然后在配置文件中添加XSS,CSRF可以修改用户的配置,达到接管账户。

主要是没有进行任何的授权检查,那怎么才能找到这个子域呢?

漏洞挖掘365天挑战——Day035:漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB subdomain.”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s