0
点赞
收藏
分享

微信扫一扫

【网络安全】XSS+OTP绕过+账户接管

小桥流水2016 2024-09-03 阅读 37

文章目录

正文

目标:www.example.com

XSS

不断寻找可能存在XSS的点位。

终于,在个人资料页面:www.example.com/profile_details.php?userid= ,使用Payload<script>alert(1)</script>,实现XSS:

img

因此,能够实现接管账户,但此漏洞需要用户交互,危害程度降低。

OTP绕过

忘记密码功能,只需要输入手机号,不需要输入用户名。输入正确的手机号验证码后,请求响应如下:

img

输入错误的手机号验证码,响应如下

举报

相关推荐

0 条评论