漏洞挖掘365天挑战——Day074:漏洞报告学习之A tale of 0-Click Account Takeover and 2FA Bypass.

链接: https://infosecwriteups.com/a-tale-of-0-click-account-takeover-and-2fa-bypass-b369cd70e42f

作者在密码重置链接的时候,抓了一个包

看到发送的是JSON格式,里面就一个email地址

那么作者干了啥呢

输入一个数组,哈哈哈,

email”: [“ my1stemail1@gmail. com”,“ my2ndemail@gmail. com”]

发现都收到了密码重置链接。

什么,密码重置链接都可以用?直接把别人密码也改了,我擦。这是什么逻辑。

两步验证 绕过

作者打开的两步验证,然后用google身份验证应用启用了,然后去拦截登录的请求

API密钥竟然都在里面….

这开发是在搞什么。

漏洞挖掘365天挑战——Day074:漏洞报告学习之A tale of 0-Click Account Takeover and 2FA Bypass.”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s