365DaysOfHacking

漏洞挖掘365天挑战——Day035：漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB subdomain.

2022年2月4日2022年2月26日 P小二2条评论

报告链接：https://hackerone.com/reports/1404612

报告分析

tiktok smb 这个子域下，存在IDOR，直接修改u_id就可以访问账户，然后在配置文件中添加XSS，CSRF可以修改用户的配置，达到接管账户。

主要是没有进行任何的授权检查，那怎么才能找到这个子域呢？

“漏洞挖掘365天挑战——Day035：漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB subdomain.”的一个响应

漏洞挖掘365天挑战 – Pxiaoer's Blog说道：

2022年2月26日 11:47

[…] Day035：漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB subd… […]

赞赞

回复
漏洞挖掘365天挑战 – Pxiaoer's Blog说道：

2022年3月2日 14:48

[…] Day035：漏洞报告学习之Multiple vulnerability leading to account takeover in TikTok SMB … […]

赞赞

回复

发表评论取消回复

请在此输入您的评论... ...

Fill in your details below or click an icon to log in:

电子邮箱地址（必填） (Address never made public)

显示名称（必填）

网站地址

您正在使用您的 WordPress.com 账号评论。 ( 注销 / 更改 )

您正在使用您的 Facebook 账号评论。 ( 注销 / 更改 )

Connecting to %s

%d 博主赞过：