漏洞挖掘365天挑战——Day075:漏洞报告学习之How I could’ve bypassed the 2FA security of Instagram once again?

链接:https://infosecwriteups.com/how-i-couldve-bypassed-the-2fa-security-of-instagram-once-again-43c05cc9b755

这次,作者在重置密码想想办法

  1. 我测试了一个 Instagram 账户,并通过 Instagram 网站为账户启用了2fa 安全功能。
  2. 然后,考虑到攻击者破坏了受害者的电子邮件帐户,攻击者登录到受害者的电子邮件帐户在各自的电子邮件应用程序。
  3. 之后,攻击者只需进入 Instagram > 忘记密码,输入受害者的 Instagram 帐户用户名,并在他/她的电子邮件中要求一个登录链接。
  4. 最后,攻击者从受害者的电子邮件账户中收到 Instagram 发来的“我们已经让返回 Instagram 变得很容易了”的电子邮件,点击易受攻击的“重设密码”按钮,然后被重定向到 Instagram 应用程序的密码重置界面,重设密码,并重设密码

恭喜你! 你在没有2fa 验证/2FA 检查的情况下进入了一个 Instagram 账户。

其实就是当前账户开启了2FA,但是找回密码的过程中并没有验证这个,直接通过邮箱就可以找回来。

然后拿到了3150刀

漏洞挖掘365天挑战——Day075:漏洞报告学习之How I could’ve bypassed the 2FA security of Instagram once again?”的一个响应

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s