今天看啥  ›  专栏  ›  白帽子左一

通过bypass IDOR实现账户接管获得2500美元赏金

白帽子左一  · 公众号  ·  · 2024-08-08 12:00
    

文章预览

扫码领资料 获网安教程 在这篇文章中,笔者将分享如何通过简单的 IDOR 绕过导致帐户接管从赚取 2500 美元赏金。 由于我不能透露该程序的名称,因此我将根据他们的披露政策将其称为 redacted.com。 在 redacted.com 上,您可以创建一个组织并添加该组织的成员,有两种方式可在组织中添加成员。 首先第一种,您可以通过使用电子邮件地址邀请他们来添加成员。 第二种是添加一个没有电子邮件的成员,只有成员姓名,这被称为演示用户,添加演示用户后,您可以编辑它并添加电子邮件地址以使其成为实际用户。 使用电子邮件地址添加成员 通过提供姓名添加成员(演示用户) 创建演示用户后,我添加了一个电子邮件地址,使其成为我组织中的实际用户,但是当我转到 Burp Suite 请求历史记录时,我注意如下请求 POST / /addEmail/ / HTTP/2 Host : redacted.com User-Ag ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览