专栏名称: 骨哥说事
关注信息安全趋势,发布国内外网络安全事件,不定期发布对热点事件的个人见解。
今天看啥  ›  专栏  ›  骨哥说事

IDOR之如何打破订阅限制

骨哥说事  · 公众号  ·  · 2024-08-21 09:51

文章预览

声明: 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名: https://gugesay.com 不想错过任何消息?设置星标 ↓ ↓ ↓ 前言 众所周知,很多订阅产品的管理页面中包含许多功能,如使用情况、数据、用户、访问等管理。 今天分享一个国外利用业务逻辑缺陷打破订阅时限限制的案例,废话不多说,让我们开始吧。 漏洞详情 白帽小哥偶然间发现了一个带有Authentication Domains用户管理的界面,正如下面所看到的,该界面用于创建身份验证域或重命名默认名称或更改内容: 于此同时白帽小哥还发现使用此界面可以订阅专业计划: 经过一番测试,白帽小哥最终发现绕过方法。 首先进入用户管理: 接着点击用户设置按钮: 然后 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览