【网络安全】XSS+OTP绕过+账户接管

小桥流水2016

 关注

阅读 39

2024-09-03

文章目录

正文

目标:www.example.com

XSS

不断寻找可能存在XSS的点位。

终于,在个人资料页面:www.example.com/profile_details.php?userid= ,使用Payload<script>alert(1)</script>,实现XSS:

img

因此,能够实现接管账户,但此漏洞需要用户交互,危害程度降低。

OTP绕过

忘记密码功能,只需要输入手机号,不需要输入用户名。输入正确的手机号验证码后,请求响应如下:

img

输入错误的手机号验证码,响应如下

相关推荐

【网络安全】XSS(新)+Amazon账户劫持复现

我是小小懒 29 0 0

【网络安全】URL解析器混淆攻击实现ChatGPT账户接管、Glassdoor服务器XSS

卿卿如梦 7 0 0

waf绕过:网络安全狗绕过

朱悟能_9ad4 33 0 0

【网络安全】Xss漏洞

天行五煞 108 0 0

网络安全——WAF绕过注入

阎小妍 111 0 0

网络安全-CDN绕过寻找真实IP

大南瓜鸭 54 0 0

网络安全——文件上传内容检查绕过

一只1994 198 0 0

网络安全之从原理看懂XSS

A邱凌 230 0 0

网络安全——XSS跨站脚本攻击

624c95384278 206 0 0

网络安全B模块(笔记详解)- JavaScript安全绕过

一世独秀 22 0 0

精彩评论(0)

0 0 举报