| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- game
- report
- hackerone
- 웹해킹
- XSS
- wargame
- writeup
- 컨설팅
- wargmae
- 면접후기
- 호스트헤더
- Googledorks
- 버그바운티
- 인젝션
- 케쉴주
- 케이쉴드주니어
- 취약점
- 구글해킹
- 케이쉴드주니어4기
- 정보보호관리진단
- 우버
- CTF
- 케쉴주4기
- IDOR
- bugbounty
- hacker101
- Today
- Total
Hack The World
oAuth Account Takeover 취약점 $1500 본문
https://medium.com/@godofdarkness.msf/mail-ru-ext-b-scope-account-takeover-1500-abdb1560e5f9
Mail.Ru Ext.B Scope Account Takeover [ $1500 ]
Hi i want to share how i found account takeover bug in geekbrains.ru .
medium.com
해당 사이트에서는 로그인 방식으로 oAuth 를 사용중
-
gmail 을 사용하여 test@gmail.com 으로 로그인
-
twitter 를 사용하여 test@gmail.com 생성후 test@gmail.com 으로 다시 로그인하면 동일한 계정으로 접속
-
vk .com 에서는 이메일 확인 없이 계정을 생성 가능 (vk = 러시아 소셜 네트워크)
- 이메일 확인없이 test@gmail.com 으로 vk 게정 생성후 해당 페이지에 로그인 시도
5. 페이지에서 vk oAuth 를 찾지 못하여 이메일 확인을 위해 이메일 주소 체크
6. 희생자의 이메일(test@gmail.com)으로 입력후 확인 버튼 클릭
- 확인 버튼 클릭시 희생자의 계정 test@gmail.com 으로 로그인
'BugBounty > Write up' 카테고리의 다른 글
| Open Redirect 취약점 (포상없음) (0) | 2020.04.22 |
|---|---|
| 스냅챗 SMS 부적절한 입력검증 취약점 $1000 (0) | 2020.04.21 |
| 행아웃 open rediection $7500 (0) | 2020.04.19 |
| 구글해킹 이용 XSS $3133.7 (0) | 2020.04.13 |
| Host header injection 취약점 $800 (0) | 2020.04.08 |
'BugBounty/Write up' Related Articles
more
Comments