漏洞挖掘365天挑战——Day074：漏洞报告学习之A tale of 0-Click Account Takeover and 2FA Bypass.

作者在密码重置链接的时候，抓了一个包

看到发送的是JSON格式，里面就一个email地址

那么作者干了啥呢

输入一个数组，哈哈哈，

email”: [“ my1stemail1@gmail. com”，“ my2ndemail@gmail. com”]

发现都收到了密码重置链接。

什么，密码重置链接都可以用？直接把别人密码也改了，我擦。这是什么逻辑。

两步验证绕过

作者打开的两步验证，然后用google身份验证应用启用了，然后去拦截登录的请求

API密钥竟然都在里面….

这开发是在搞什么。

“漏洞挖掘365天挑战——Day074：漏洞报告学习之A tale of 0-Click Account Takeover and 2FA Bypass.”的一个响应

[…] Day074：漏洞报告学习之A tale of 0-Click Account Takeover and 2FA Bypass. […]

请在此输入您的评论... ...

Fill in your details below or click an icon to log in:

电子邮箱地址（必填） (Address never made public)

显示名称（必填）

网站地址

您正在使用您的 WordPress.com 账号评论。 ( 注销 / 更改 )

您正在使用您的 Facebook 账号评论。 ( 注销 / 更改 )

Connecting to %s