【网络安全 | 漏洞挖掘】Zoho 账户接管:一次点击就能完全控制你的Zoho账户

最新推荐文章于 2025-12-27 22:50:51 发布
最新推荐文章于 2025-12-27 22:50:51 发布
阅读量2.6k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 漏洞挖掘
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/145774751

未经许可,不得转载。
本文涉及的所有漏洞均已修复。

在这里插入图片描述

文章目录

在这篇文章中,我将讨论我是如何发现 DOM XSS 和 Postmessage 配置错误,并利用它们升级为 Zoho 账户接管的。本文将分为三个部分:

  • DOM XSS(发生在 www.zoho.com.cn)
  • Postmessage 配置错误(发生在 www.zoho.com)
  • 升级至账户接管(ATO)

其中DOM XSS 和 Postmessage 配置错误是两个独立的漏洞,它们彼此无关。一个是 Zoho 中国站(zoho.com.cn)的 XSS 漏洞,另一个是 Zoho 国际站(zoho.com)的 Postmessage 配置错误导致的 XSS。我们可以利用其中任意一个漏洞,结合第三部分来实现账户接管。

1、DOM XSS

我的工具检测到以下 URL 存在 DOM XSS 漏洞:
https://www.zoho.com.cn/assist/videos/#payload

该漏洞存在于以下 JavaScript 代码中,文件地址:
https://www.zoho.com.cn/sites/default/files/cpn/54594.js

$(
了解本专栏 订阅专栏 解锁全文 超级会员免费看
CVE-2021-40539-Zoho ManageEngine ADSelfService Plus如何从bypass到RCE
QTcyber的博客
11-08 5377
聪者听于无形,明者见于未形;专注网络安全,关注漏洞态势;拒绝重复搬运,只做精品原创。 最新、最快、最全的漏洞情报,请关注微信公众号:且听安全 1.漏洞信息
Zoho办公套件:云端协作与高效办公指南
08-25
本书详细介绍了Zoho办公套件的各项功能,涵盖文字处理、电子表格、演示文稿等核心应用,旨在帮助用户充分利用云端协作的优势。书中不仅讲解了如何创建和编辑文档,还深入探讨了版本控制、实时协作、模板使用等高级...
1、开启Zoho之旅:走进互联网新生态
Black的专栏
09-12 19
本文介绍了Zoho作为基于Web 2.0和云计算技术的互联网应用,如何助力个人与企业实现高效办公。内容涵盖Web 2.0与云概念解析、Zoho账户创建、Zoho Personal的定制使用、提升访问便捷性的工具(如Prism、Fluid、Google Gears),以及文档、电子表格、演示文稿的核心功能与协作方式。同时介绍了Zoho Mail、Zoho Chat、Zoho Planner等实用工具,并强调了数据安全与获取帮助的途径,全面展示Zoho在现代数字生态中的价值与应用。
Zoho:尽快修复已遭利用的 ManageEngine 严重漏洞
smellycat000的专栏
12-06 987
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士商业软件提供商 Zoho 督促客户尽快将 Desktop Central 和 Desktop Central MSP 更新至最新版本。Z...
Zoho 修复Desktop Central 中的又一个严重漏洞
smellycat000的专栏
01-18 581
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zoho 修复了一个新的严重漏洞(CVE-2021-44757),它影响 Zoho Desktop Central 和 Desktop ...
Zoho在2025:三个支点和一个新故事
chanyejiawang的博客
05-06 817
新水温,新进化
Triofox漏洞家族深度技术剖析:从访问控制失效到链式RCE的攻击演进与防御突破
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-11 1050
摘要 2025年,Triofox平台曝出三大高危漏洞(CVE-2025-30406/11371/12480),形成链式攻击:12480通过未授权访问配置页直接创建管理员账号;30406利用硬编码密钥实现反序列化RCE;11371通过LFI泄露密钥绕过补丁。攻击者可组合利用漏洞获取SYSTEM权限,核心缺陷源于访问控制缺失、密钥管理不当及路径校验疏漏。补丁虽引入部署状态校验和IP限制,但遗留自定义密钥复用风险。企业需关闭公网暴露、更新至最新版本并监控异常配置请求,以阻断攻击链。
Zoho邮箱:国内国际版差异详解
dunniang的博客
08-21 1207
以邮件提醒功能为例,我们可以在和客户收发重要邮件信息时,在对方没有回复的情况下,可以通过邮件提醒来自动发送询问的邮件。Zoho国际版的购买和国内版的区别点在于,一是官网链接的不同,二是购买方式的不同。在决定投资Zoho企业邮箱的具体版本之前,企业应当进行一次全面且细致的自我审视,以确保所选择的方案能够与公司的特定需求和长期战略目标完美契合。本文将详细为您介绍两者的区别。Zoho企业邮箱国际版和国内版在功能方面没有大的区别,在展示的界面上会有些许区别,都在具备邮箱基础功能的情况下,还能满足团队协作的需求。
2、云办公时代:Zoho的魅力与使用指南
e3f4g5的博客
07-08 63
本文全面介绍了云办公时代下Zoho作为集成SaaS与PaaS解决方案的魅力与使用方法。从云办公和相关服务模式的崛起谈起,分析了SaaS和PaaS的优势,以及它们如何改变传统办公方式。随后详细介绍了Zoho这一强大的云端应用套件,涵盖其功能、应用场景、账户创建流程、个性化设置及便捷访问方式。通过对比传统办公方式的弊端,展示了Zoho在文档处理、团队协作、客户关系管理、移动办公等方面的显著优势,并提供了操作指南和常见问题解答,帮助个人和企业高效开启云办公新时代。
13、云端生活:Zoho 工具的高效运用
e3f4g5的博客
07-19 65
本文介绍了如何通过 Zoho Chat 和 Zoho Planner 提升云端生活的效率。详细说明了 Zoho Chat 的使用方法,包括账户添加、实时支持、喊话框、事件管理以及聊天偏好设置。同时,还涵盖了 Zoho Planner 的基础操作和高级功能,例如创建计划页面、待办事项管理、页面分享和提醒设置。文章最后总结了 Zoho 系列工具的优势,并提供了相关帮助资源。
Zoho应用全面指南:从基础到高级功能
08-08
本书《Zoho应用全面指南:从基础到高级功能》详细介绍了Zoho系列产品的使用方法,涵盖了从基础入门到高级功能的各个方面。书中首先解释了Web 2.0和云计算的概念,帮助读者理解Zoho的工作原理及其在现代办公环境中的...
zoho:Zarho Laravel软件包
05-27
获得一个。 PHP> = 7.2 Laravel> = 6. * 安装 通过composer require命令将Zoho CRM添加到您的composer文件中: $ composer require asciisd/zoho 或手动将其添加到composer.json : " require " : { " asciisd...
Zoho ManageEngine:registered: OpStor用户手册(英文)
03-04
Zoho ManageEngine OpStor是一款专为企业设计的存储设备监控解决方案,它以用户友好的Web界面为中小型企业(SME)的管理员提供了一个实惠的选择。OpStor采用三层架构,即数据库服务器-客户端模式,配备了一个内置的...
每周5小时“隐形流失”,如何精准锁定并回收?
endpointcentral的博客
12-23 371
摘要:数字化办公中,员工每周平均浪费5小时访问非工作应用,导致中型企业年损失数百万元,并增加安全风险。传统管控方式已失效,需智能化解决方案。"智能黑名单"技术能精准管控应用,平衡效率与安全,需具备精细化策略、即时威胁响应和双重精准识别能力。
Web安全中SQL注入绕过WAF的具体手法和实战案例
2401_84466227的博客
12-25 1114
摘要:本文探讨了绕过WAF进行SQL注入的主要手法,包括基础符号替换、编码混淆、注释技巧等简单方法,以及协议变异、参数污染等高级技术。文章还介绍了SQLMap工具应用和数据库特性利用等实战技巧,并从防御角度提出安全编码、WAF规则优化等建议。这些技术展示了WAF攻防对抗的核心思路,强调所有技术应仅用于合法安全测试与研究目的。(150字)
生成对抗样本在网络安全中的工程化解读——AI 误报、误判与对抗的真实边界
最新发布
oQianYuan的博客
12-27 851
*“生成对抗样本”**在网络安全工程中的真正意义,并不在于它是一种攻击手段,而在于它是一面镜子——它无情地映射出我们系统的盲区,嘲笑着我们对“正常业务”定义的肤浅,并逼迫我们走出“模型迷信”的舒适区。如果你有能力生成更复杂序列,可以训练一个生成模型(如 seq2seq、Transformer)学习正常轨迹的分布,然后通过条件采样或对抗训练生成“接近正常但语义偏移”的轨迹。当你不再被误报搞得焦头烂额,而是开始主动利用对抗样本去测试系统的边界时,恭喜你,你已经掌握了 AI 安全的工程化真谛。
汽车网络安全:SHA算法详细解析
2301_76563067的博客
12-19 1405
详细介绍SHA256算法,SHA256是SHA-2下细分出的一种算法 SHA-2,名称来自于安全散列算法2(英语:Secure Hash Algorithm 2)的缩写,一种密码散列函数算法标准,由美国国家安全局研发,属于SHA算法之一,是SHA-1的后继者。
科技云报到:2026网络安全六大新趋势:AI重构攻防,信任成为新防线
科技云报道
12-24 933
《2026网络安全六大趋势:从边界防护到信任重构》摘要 IDC预测显示,2026年70%企业将采用复合AI技术,同时网络安全面临全新挑战。AI技术发展催生六大趋势:1)AI Agent身份安全转向主动信任构建;2)AI加速API规模化攻击;3)主动防御成主流,安全支出占比将达50%;4)AI浏览器/手机带来新型"黑箱"威胁;5)AI驱动自动化多重勒索攻击升级;6)数据质量与治理成为AI可信基础。报告指出,未来网络安全需构建贯穿"数据-应用-流程"的全维度防御体系,通过
【Geek渗透之路】小迪安全笔记——web安全(3)
geekgold的博客
12-21 903
摘要: 本文详细分析了IIS(Internet Information Services)的安全漏洞及其利用方法,重点探讨了数据库泄露、注入攻击、HTTP.SYS漏洞、短文件漏洞、解析漏洞及文件上传配置错误等风险。文章还介绍了Access和MySQL数据库的注入技术,包括回显注入、无回显注入、报错注入及堆叠注入等,并提供了防护建议。此外,针对文件上传漏洞,分析了多种绕过方式(如黑名单绕过、条件竞争、二次渲染等)及安全存储方案(如OSS对象存储)。最后,文章概述了XSS、CSRF、SSRF等常见Web攻击的原
Zoho Mail语音控制插件:实现语音驱动的Web邮件操作
Zoho Mail VoicZ-crx插件”是一款基于浏览器的扩展程序(CRX插件),专为Zoho Mail电子邮件服务设计,旨在通过语音控制技术实现对Web邮件系统的智能化操作。该插件的核心功能是将用户的语音输入转化为具体的邮件...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值