通过混淆手段进行账户劫持
2023-5-16 00:1:59 Author: LemonSec(查看原文) 阅读量:17 收藏

通过混淆手段进行账户劫持

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

关联业务

1.应用程序允许用户A邀请其他用户B到他的组织

2.用户A可以要求他邀请的帐号重置密码

3.用户B在邮件中收到reset token链接

POC

  • 用户A邀请用户B到他所创建的实例,其中用户B是他的第二个电子邮件地址

  • 用户A要求用户B重置密码

  • 用户B打开重置链路并等待

  • 用户A将用户B的邮件编辑改为受害者的邮件

  • 重置密码令牌对受害者生效

侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247545775&idx=2&sn=4739549a8bfbe6a970850c86159f7807&chksm=f9e35cf4ce94d5e245582099e293721e35669e0ca7bf321d73fcf51d84876654ec1cd36984c3#rd
如有侵权请联系:admin#unsafe.sh