白帽故事 · 2023年11月30日 0

具有邀请功能的账户劫持思路

思维导图:

file

先决条件:

1️⃣ 确保目标应用程序支持在应用程序内邀请团队成员。

2️⃣ 验证目标应用程序允许帐户注册而无需电子邮件验证,或者找到电子邮件验证绕过漏洞。

测试方法:

1️⃣ 登录你的帐户并邀请一个新的团队成员,例如 testaccount@example.com(确保该帐户尚未在平台上注册)

2️⃣ 通常会向 testaccount@example.com 发送一个邀请链接,以便通过接受邀请注册并加入团队

3️⃣ 为测试目标应用程序是否存在漏洞,忽略邀请电子邮件链接,尝试直接使用 testaccount@example.com 注册帐户,假设目标应用程序不要求电子邮件验证,或者已经找到了电子邮件验证绕过方法

4️⃣ 一旦登录到目标应用程序,你可能会发现一个邀请,从而能够代表受害者接受邀请,然后未经授权地访问团队,并获得分配的角色(例如管理员、团队等),这将导致重大的安全影响

问题在于任何人都可以使用尚未在平台上注册但正在等待邀请的电子邮件进行注册。一旦登录,攻击者可以接受邀请,从而未经授权地访问组织