목록IDOR (2)
Hack The World

https://medium.com/bugbountywriteup/how-i-unlocked-the-blocked-accounts-545e9b7d7be1 How i Unlocked the blocked accounts? welcome Everyone !!! . This is my first write up :) Hope you enjoy. medium.com 간단한 취약점이다. 공격자는 한 웹페이지에서 비밀번호를 4~5회 이상틀려서 계정이 블락된 상태이다. 이 계정으로 접속하고 싶었던 공격자는 블락된 계정의 token 값을 획득한후 정상적인 계정에서 비밀번호 변경값에서 해당 token 을 block된 공격자의 토큰으로 변경하니 비밀번호 재설정이 되었다. 이 취약점으로 제보하여 현상금을 획득하였고 몇달 후 ..
비밀번호reset 페이지에서 간단한 IDOR 로 $4500 을 받은 리포트 원본:https://medium.com/@swapmaurya20/a-simple-idor-to-account-takeover-88b8a1d2ec24 Original Request:- POST /login/internalResetPasswordSubmit?Toketoken=random_char&m=1234&nid=random_char HTTP/1.1 Host: subdomain.example.com Headers: Etc Cookie: all_required_cookies {“email”:”attacker_account@test.com”,”password”:”new_passwd”,”confirmPassword”:”new_passwd..