【网络安全 | 漏洞挖掘】如何通过竞态条件发现账户接管漏洞

最新推荐文章于 2025-12-27 22:50:51 发布
最新推荐文章于 2025-12-27 22:50:51 发布
阅读量2.9k 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 javascript 前端
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/144770387

未经许可,不得转载。

文章目录

背景

目标应用允许用户创建项目。这些项目中包含多个用户角色,每个角色权限不同(如所有者、管理员、成员管理者等)。用户可通过接受邀请来加入项目,而只有项目所有者才能通过输入邮箱将项目所有权转移给其他用户。这是你需要了解的所有背景信息。

正文

在探索应用时,我发现了两种转移项目所有权的方式:

1、目标用户A尚未加入项目,向A转移项目所有权时,会发送邀请,用户A接受邀请后才能获得项目所有权。
2、目标用户A已经是该项目成员时,所有权会立即转移到A。

很有意思,对吧?但该如何利用这种行为呢?毕竟,只有项目所有者才能发起转移操作。

在测试过程中,我注意到以下几点:

1、可以通过拦截编辑成员权限的请求,并在请求体中添加 email 参数,来修改待定邀请用户的邮箱。
2、已激活用户的邮箱:在任何情况下都无法修改。

待定用户的邮箱究竟在什么时候变得不可更改?是在点击邀请链接后?还是注册完成后?亦或是在登录并接受邀请后?

通过大量测试和账户创建,我发现了转折点:受邀用户的邮箱在接受邀请并从“待定”状态切换为“激活”状态后才会变为不可更改。

设置竞态条件

有趣的部分来了:如果我在接受邀请的同时修改受邀用户的邮箱会发生什么?

为了测试这一点,我采取了以下步骤:

1、向一个新邮箱发送邀请。
2、打开邀请链接并开始创建账户,但停留在接受表单界面。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | 漏洞挖掘】通过观察HTTP响应实现账户接管
等风来
07-16 224
在尝试篡改请求后,很明显可以看出 signed 参数是根据所有请求参数计算得出的哈希值。你无法修改 HTTP 请求的任何部分,否则就会收到未经授权的错误提示,因为应用使用某种密钥对整个请求进行了签名。这意味着只要对请求做出任何改动,应用就不会允许你发送它。不过,由于是我们自己的手机在为请求签名,从理论上讲,提取这个密钥并编写脚本以任意方式生成签名请求是可能的。
网络安全 | 漏洞挖掘】通过有趣的逻辑漏洞实现账户接管
等风来
11-06 3475
我进一步测试时,发现该平台还有一个子域,使用相同的账号凭据也可以登录。我尝试在主域和这个子域上同时保持登录状。然而,每当我在任一会话中尝试更改邮箱后,系统会强制登出两个域的会话。
网络安全 | 漏洞挖掘】APDCL:IDOR + 账户接管
等风来
07-13 2760
APDCL ,即印度阿萨姆邦电力分销公司(Assam Power Distribution Company Limited),是印度阿萨姆邦政府控制的公共部门企业,负责电力分配和供应服务,确保电力供应的稳定性和可靠性,以满足居民、工业和商业客户的电力需求。
网络安全 | 漏洞挖掘】四链路账户接管
等风来
03-12 2253
此外,OTP 仅为4 位数字(0000-9999,共 10,000 组可能性)。通过策略性选择 60 组数字(如 5000–5060)进行批量尝试,失败后重新请求新的 OTP,再次尝试相同的 60 组数字。随后,我检查了密码重置功能。通常,重置密码涉及多个请求,包括 OTP 验证。问题在于,尽管可以随意重置密码,登录时仍需通过 OTP 认证,尚未完全接管账户。未设置冷却时间,意味着可以连续请求 OTP 12 次,才会触发速率限制。14 分钟内,我成功暴力破解 OTP,并获取了会话令牌。
网络安全 | 漏洞挖掘】通过密码重置污染实现账户接管
等风来
11-17 3517
修改 HTTP 请求中的Origin字段,将其设置为攻击者控制的 URL;服务器接受了恶意 Origin 值并生成了对应的重置链接;用户点击邮件中的链接后,被重定向至攻击者的服务器;攻击者拦截并使用重置令牌完成账户接管
网络安全 | 漏洞挖掘】私有项目中的账户接管过程
等风来
01-04 2937
当我测试“重置/忘记密码”功能时,我通常会尝试“主机头注入”(Host Header Injection)攻击,此外还会尝试使用一些可能具有类似效果的知名头部字段。我尝试寻找任何可能的 BAC(业务访问控制)漏洞、CSRF(跨站请求伪造)或 CORS(跨域资源共享)问题,但没有成功,所以我把注意力转向了“重置密码”功能。在逐一搜索后,我最终发现了一个具有 P4 严重级别的 IDOR 漏洞(不正确的直接对象引用),允许我删除其他用户在帖子中的评论。当我转发请求时,收到了 404 响应。
网络安全 | 漏洞挖掘】通过分析JS文件实现接口未授权访问与账户接管
等风来
04-08 793
为了确保我没有遗漏什么,我联系了一位朋友,问她是否可以“黑”掉她的车,以证明我们可以完全接管车辆。汽车行业的特殊性在于,一个来自德州的18岁员工,可以查询到加州某辆车的账单信息,而这并不会引起任何警觉,这是他们的日常工作内容之一。换句话说,如果这个接口确实按这段 JavaScript 的逻辑运行,那攻击者只需要知道某位员工的邮箱地址,就可以重置其密码,直接接管账号。结合我以前在其他车企挖洞的经验,我知道很多时候员工端系统的权限远比用户端大得多,而且这些系统有时会暴露在公网,或存在配置不当的问题。
网络安全 | 漏洞挖掘账户接管获得500美元赏金
等风来
11-17 3321
在平台的密码重置功能中,我发现了一处验证逻辑的缺陷,攻击者可以绕过重置代码的验证。由于平台未正确验证重置代码,攻击者可以直接为受害者账户设置新密码,成功接管账户。攻击者拦截请求,将用户参数修改为受害者用户名,同时将代码参数置为空
网络安全 | 漏洞挖掘】HubSpot 全账户接管(万字详析)
等风来
01-07 3393
经过测试,我发现PHP接受其他未在官方文档中列出的分隔符,例如空格和“;因此,如果我们的请求传递给处理数据库的JSP微服务,它会根据第一个邮箱创建重置密码的URI,但当请求再次路由到PHP时,它会将重置密码邮件发送到第二个邮箱。这样的函数,以“,”作为分隔符,一次性发送邮件给所有的邮箱,这样可以提供高性能的操作,其时间复杂度为O(1),而不是迭代方式的O(n)。因此,当处理数据库的微服务找到正确的邮箱并执行数据库查询时,另一个处理SMTP服务的微服务如果实现了错误的验证,将会发现受害者的邮箱。
每周5小时“隐形流失”,如何精准锁定并回收?
endpointcentral的博客
12-23 369
摘要:数字化办公中,员工每周平均浪费5小时访问非工作应用,导致中型企业年损失数百万元,并增加安全风险。传统管控方式已失效,需智能化解决方案。"智能黑名单"技术能精准管控应用,平衡效率与安全,需具备精细化策略、即时威胁响应和双重精准识别能力。
Web安全中SQL注入绕过WAF的具体手法和实战案例
2401_84466227的博客
12-25 1110
摘要:本文探讨了绕过WAF进行SQL注入的主要手法,包括基础符号替换、编码混淆、注释技巧等简单方法,以及协议变异、参数污染等高级技术。文章还介绍了SQLMap工具应用和数据库特性利用等实战技巧,并从防御角度提出安全编码、WAF规则优化等建议。这些技术展示了WAF攻防对抗的核心思路,强调所有技术应仅用于合法安全测试与研究目的。(150字)
生成对抗样本在网络安全中的工程化解读——AI 误报、误判与对抗的真实边界
最新发布
oQianYuan的博客
12-27 848
*“生成对抗样本”**在网络安全工程中的真正意义,并不在于它是一种攻击手段,而在于它是一面镜子——它无情地映射出我们系统的盲区,嘲笑着我们对“正常业务”定义的肤浅,并逼迫我们走出“模型迷信”的舒适区。如果你有能力生成更复杂序列,可以训练一个生成模型(如 seq2seq、Transformer)学习正常轨迹的分布,然后通过条件采样或对抗训练生成“接近正常但语义偏移”的轨迹。当你不再被误报搞得焦头烂额,而是开始主动利用对抗样本去测试系统的边界时,恭喜你,你已经掌握了 AI 安全的工程化真谛。
汽车网络安全:SHA算法详细解析
2301_76563067的博客
12-19 1404
详细介绍SHA256算法,SHA256是SHA-2下细分出的一种算法 SHA-2,名称来自于安全散列算法2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函数算法标准,由美国国家安全局研发,属于SHA算法之一,是SHA-1的后继者。
【Geek渗透之路】小迪安全笔记——web安全(3)
geekgold的博客
12-21 902
摘要: 本文详细分析了IIS(Internet Information Services)的安全漏洞及其利用方法,重点探讨了数据库泄露、注入攻击、HTTP.SYS漏洞、短文件漏洞、解析漏洞及文件上传配置错误等风险。文章还介绍了Access和MySQL数据库的注入技术,包括回显注入、无回显注入、报错注入及堆叠注入等,并提供了防护建议。此外,针对文件上传漏洞,分析了多种绕过方式(如黑名单绕过、条件争、二次渲染等)及安全存储方案(如OSS对象存储)。最后,文章概述了XSS、CSRF、SSRF等常见Web攻击的原
万字详解Lampiao靶机渗透全流程:Drupalgeddon2漏洞+CVE-2016-5195脏牛漏洞复现
mooyuan的网络安全博客
12-26 1105
本文详细记录了通过脏牛漏洞(CVE-2016-5195)对Lampiao靶机进行渗透测试的全过程。首先使用nmap扫描发现靶机运行Drupal服务,利用Drupalgeddon2漏洞获取初始访问权限;随后上传漏洞检测脚本,确认存在脏牛漏洞;最后通过编译执行脏牛漏洞利用程序,成功将权限从www-data提升至root。实验环境包括Kali攻击机(192.168.59.141)和Lampiao靶机(192.168.59.150),完整演示了从信息收集、漏洞利用到权限提升的渗透测试流程。
BAS模拟入侵攻击系统:前置防控核心,守护企业网络安全
2501_93360277的博客
12-23 944
数字化时代,网络威胁持续升级,黑客攻击手段愈发隐蔽、精准,企业数据泄露、系统瘫痪、业务中断等安全事件频发,给企业带来巨额经济损失与品牌声誉损害。在此背景下,被动防御已难以抵御多变的网络威胁,主动探测、预判风险成为企业网络安全建设的核心诉求。而BAS(模拟入侵攻击系统)作为网络安全领域的核心技术工具,正以专业的攻防模拟能力,助力企业提前发现安全漏洞,筑牢主动防御防线。作为网络安全领域的核心模拟攻防系统,
Web安全方向的面试通常会重点考察哪些漏洞和防御方案?
2401_84466227的博客
12-26 283
本文总结了Web安全面试中的核心漏洞类型及防御方案,包括SQL注入、XSS、CSRF等常见攻击原理和应对策略。建议在面试中不仅要掌握基础知识点,更要展现思考过程和实践经验:用逻辑链阐述漏洞原理,以STAR法则分享实战案例,并关注行业新趋势。备考时应通过靶场实践巩固知识,进行模拟面试提升表达能力。文章强调理论结合实践的重要性,为网络安全面试提供系统指导。
Nmap+Fofa 一体化信息搜集工具打造
Bruce_xiaowei的博客
12-26 633
本文介绍了一款Nmap+Fofa一体化信息搜集工具的开发与使用。该工具整合了Nmap的C段扫描能力与Fofa API的资产查询功能,支持自动提取存活主机、域名解析IP、结果规范输出等核心功能。工具包含Nmap扫描模块(17种扫描类型、自动存活提取)、Fofa查询模块(支持多种查询方式、字段自动对齐)以及通用增强功能(异常处理、结果去重等)。安装配置简单,只需准备Python环境、Nmap和Fofa API即可使用。该工具能显著提升渗透测试和网络运维中的信息搜集效率,解决手动操作低效问题。
网络安全与技术应用投期刊攻略
Wang15302191715的博客
12-27 572
传统网络安全算法在工程落地中存在执行效率低、适配性差、高并发场景下稳定性不足等问题,而Java语言具备跨平台、面向对象、多线程及安全机制完善的特性,成为实现网络安全算法的主流开发语言,基于Java实现高效、可靠的网络安全算法,对提升网络安全防护能力具有重要现实意义。二是拓展算法应用场景,完成在分布式网络安全系统中的落地验证。2. 工程应用类Java算法(易中,审稿宽松):Java实现的安全系统算法优化(如日志分析、权限控制、数据脱敏算法)、分布式/高并发场景下的Java算法落地(如云安全平台的调度算法)。
综合防御账户接管攻击的安全策略研究
本文将深入探讨如何防御账号接管攻击,覆盖多个安全领域,包括Web安全、终端安全、威胁情报、安全对抗以及工控安全Web安全Web安全方面,防御账号接管攻击首先要了解攻击者通常采用的手段,例如钓鱼、社交工程...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值