迪哥讲事 2023-12-04 16:39 发表于江苏
OAuth配置错误导致账户劫持 测试流程方法2: 你有一个gmail邮箱:222@gmail.com 使用222@gmail.com注册一个账户并登录目标xxx.com,注意,这里系统会发你一个消息,主要意思是发你邮箱一个验证码,叫你去验证账户,这里你不用理睬,然后直接退出账户即可。 危害与影响假设有两个人A和B, A是攻击者,B是尚未在xxx.com注册的受害者,A使用B的google电子邮件地址创建帐户。过了一段时间,B通过OAuth的方式用google邮箱登陆,B不会知道A已经有了B的账号,因为他已经为B的邮箱设置了密码。B输入他的信用卡详细信息后,A将使用密码登录进入他的帐户并访问所有详细信息。 如果你是一个长期主义者,欢迎加入我的知识星球([color=var(--weui-LINK)]优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
| 
发表于 2023-12-7 21:48:55