[Перевод] Полный захват аккаунта в одной из крупнейших компаний электронной коммерции

info@vsetut.pro

Стать автором

Вернуться

05.11.2024 06:02:06 | Хабр

Хабы: Информационная безопасность, Bug hunters

Привет всем,

Сегодня я хочу поделиться своим опытом обнаружения уязвимости, позволяющей захватить учетную запись (ATO) с помощью отравления ссылки для сброса пароля. Во время участия в программе, охватывающей миллионы пользователей — крупной компании в сфере электронной коммерции, которую я буду называть redacted.com — я тестировал функции аутентификации и наткнулся на функцию «Запрос на сброс пароля». Эта функция предлагает пользователям ввести адрес электронной почты для получения ссылки для сброса пароля.

Когда я начал исследовать эту программу, я находился в аэропорту в ожидании рейса. Имея немного свободного времени, я решил углубиться в вопросы безопасности программы. Если бы я знал, что эта неформальная сессия тестирования приведет к важному открытию! :))

Подробнее

Читайте также

Как хантить безопасников
05.11.2024 06:00:47 | Хабр

Назван главный фактор, который контролирует, где в организме набирается жир
05.11.2024 06:00:00 | ferra.ru

Как некорректная разработка API может привести к удалению пользователей
05.11.2024 05:42:01 | Хабр

Программирование контроллера звуком с телефона — заметки на полпути
05.11.2024 05:31:37 | Хабр

Контроль покрытия T-SQL
05.11.2024 05:15:33 | Хабр

Диетологи назвали лучшие продукты для здоровья костей
05.11.2024 05:15:00 | ferra.ru

Как гибридный формат работы и дефицит кадров изменили офисные пространства: заметки маркетолога
05.11.2024 05:00:26 | Хабр

Перечислены научно обоснованные преимущества квашеной капусты для здоровья
05.11.2024 04:30:00 | ferra.ru

Тайм-трекер для фрилансера, API для KYC – и еще 8 российских стартапов
05.11.2024 04:12:19 | Хабр

Эксперт рассказал, как наш мозг вызывает глубокий сон, чтобы ускорить выздоровление
05.11.2024 03:45:00 | ferra.ru

Доказано: у детей, которые едят меньше сахара, ниже риск гипертонии и диабета
05.11.2024 03:00:00 | ferra.ru

Камеры флагмана Xiaomi 15 Ultra и их впечатляющие характеристики
05.11.2024 02:42:51 | it-world

Названы преимущества козьего молока для здоровья
05.11.2024 02:15:00 | ferra.ru

Российские учёные нашли новое применение технической конопле
05.11.2024 01:30:28 | ferra.ru

Раскрыто, как связаны состояние полости рта и здоровье сердца
05.11.2024 01:30:00 | ferra.ru

В России разработают карту растений для защиты «коренных» культур
05.11.2024 01:21:55 | ferra.ru

Первые «Атомы» выпустят до конца 2024 года
05.11.2024 01:14:02 | ferra.ru

В России построят уникальную теплицу для выращивания клубники
05.11.2024 01:06:42 | ferra.ru

Инсайдер раскрыл кое-что о Redmi K80
05.11.2024 01:00:53 | it-world

Эксперт перечислил технологии, пришедшие из автопрома
05.11.2024 00:56:13 | ferra.ru

Россиянам назвали параметры выбора смартфона для фотографий
05.11.2024 00:46:04 | ferra.ru

Эксперты по сну объяснили, что можно сделать, если вы не можете перестать ворочаться ночью
05.11.2024 00:45:00 | ferra.ru

Российский ИИ-учитель русского языка запустят в 2025 году
05.11.2024 00:29:06 | ferra.ru

Работа в «песочнице» с торговым роботом на Московской бирже
05.11.2024 00:23:00 | Хабр

Российский шутер Pioner открыл регистрацию на тестирование ранней версии игры
05.11.2024 00:16:40 | ferra.ru

В России запустили разработку вакцины от раковых опухолей
05.11.2024 00:08:32 | ferra.ru

Россиян предупредили о приближении магнитных бурь
04.11.2024 23:47:06 | ferra.ru

Диетологи назвали лучшие супы для приведения в норму уровня сахара в крови
04.11.2024 23:15:00 | ferra.ru

Эксперты рассказали, как работают «умные» электросчётчики
04.11.2024 23:14:35 | ferra.ru

Россиянам объяснили причины роста цен на отечественное ПО
04.11.2024 22:55:28 | ferra.ru

Rozetked назвали плюсы и минусы фитнес-браслета Xiaomi Mi Band 9 Pro
04.11.2024 22:30:00 | ferra.ru

Эксперт назвал самые технологичные материалы зимней одежды
04.11.2024 22:26:16 | ferra.ru

Россия запустит Зимбабвийский спутник на орбиту 5 ноября
04.11.2024 22:11:31 | ferra.ru

Российский мессенджер «Зосима» запустят 13 ноября
04.11.2024 22:00:17 | ferra.ru

Ученые выявили риски в использовании ИИ в генетических исследованиях
04.11.2024 21:59:37 | ferra.ru

Смотреть все

НОВОСТИ

"Атлетико" обыграл "Барселону" в первом матче четвертьфинала Лиги чемпионов
08.04.2026 23:56:31 | ТАСС

ПСЖ с Сафоновым обыграл "Ливерпуль" в Лиге чемпионов
08.04.2026 23:54:09 | ТАСС

Взорвавшийся дрон ранил мужчину в Белгородской области
08.04.2026 23:53:37 | Life.ru

Сафонов отстоял на ноль и помог ПСЖ победить «Ливерпуль» в первом матче 1/4 финала ЛЧ
08.04.2026 23:53:19 | Lenta.ru

Премьер Ливана объявил 9 апреля днем траура по погибшим при израильских атаках
08.04.2026 23:53:08 | ТАСС

Захарова оценила решение Молдавии о выходе из СНГ
08.04.2026 23:52:34 | Lenta.ru

Вэнс усомнился, что Иран хотел его подключения к переговорам
08.04.2026 23:51:57 | ТАСС

Матч "Чайка" - "Ирбис" стал самым продолжительным в истории МХЛ
08.04.2026 23:51:16 | ТАСС

Обвиняемая по делу о смерти Мэттью Перри получила 15 лет тюрьмы
08.04.2026 23:50:37 | Lenta.ru

В США заявили о планах Трампа наказать страны НАТО из-за Ирана
08.04.2026 23:45:00 | Lenta.ru

Правоохранители прокомментировали покупку прокурором фитнес-марафонов у Лерчек
08.04.2026 23:45:00 | Lenta.ru

WSJ: США могут "наказать" союзников по НАТО из-за их позиции по войне с Ираном
08.04.2026 23:44:35 | ТАСС

«Ни мы, ни израильтяне не обещали»: Вэнс объяснил споры вокруг Ливана недопониманием
08.04.2026 23:44:00 | Life.ru

Карседо объяснил замену вратаря перед серией пенальти в игре с "Зенитом"
08.04.2026 23:43:53 | ТАСС

В Ахтырке на севере Украины произошли новые взрывы
08.04.2026 23:42:05 | ТАСС

В Северной Осетии готовы принять 100 школьников из Дагестана
08.04.2026 23:41:35 | ТАСС

Вулкан Шивелуч на Камчатке выбросил пепел на высоту 6,6 км
08.04.2026 23:41:04 | ТАСС

СК возбудил уголовное дело после гибели 60 попугаев в Ленобласти
08.04.2026 23:39:00 | Life.ru

Военкомы на Украине подожгли машину, чтобы выкурить водителя, их оправдали
08.04.2026 23:35:00 | Российская Газета

Вэнс: Израиль выражал готовность к более сдержанным действиям в Ливане
08.04.2026 23:33:46 | ТАСС

В США назвали ключевую фигуру в перемирии с Ираном
08.04.2026 23:26:47 | Lenta.ru

«Спартак» прошёл «Зенит» и сыграет и ЦСКА в финале «Пути регионов» Кубка России
08.04.2026 23:26:24 | Life.ru

«Спартак» прошёл «Зенит» и сыграет c ЦСКА в финале «Пути регионов» Кубка России
08.04.2026 23:26:24 | Life.ru

В Белом доме назвали условие для ближайших переговоров с Ираном
08.04.2026 23:26:00 | Российская Газета

Минобороны РФ сообщило об уничтожении 16 БПЛА за восемь часов
08.04.2026 23:23:00 | Life.ru

Лукашенко отправится в большую поездку
08.04.2026 23:21:13 | Lenta.ru

Подозреваемый в убийстве украинской беженки не предстанет перед судом в США
08.04.2026 23:21:00 | Lenta.ru

В ГД внесли законопроект о штрафах до 1 млн рублей за повреждения электросетей
08.04.2026 23:20:38 | ТАСС

Фанаты "Зенита" забросали игроков "Спартака" бутылками
08.04.2026 23:20:23 | ТАСС

Вэнс: США считают абсурдом попытки руководства ЕС повлиять на выборы в Венгрии
08.04.2026 23:19:34 | ТАСС

Суд приговорил «кетаминовую королеву» к 15 годам тюрьмы за смерть Мэттью Перри
08.04.2026 23:19:18 | Life.ru

Над российскими регионами сбили 16 беспилотников
08.04.2026 23:18:00 | Lenta.ru

Правоохранители опровергли покупку прокурором у Лерчек фитнес-марафонов
08.04.2026 23:17:46 | ТАСС

В "Художественном" прошел показ фильма "Вот это драма!" с Зендеей и Паттинсоном
08.04.2026 23:16:42 | ТАСС

В Белгородской области из-за детонации дрона ВСУ пострадал человек
08.04.2026 23:16:24 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro