[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно

03.06.2025 12:51:59 | Хабр

Хабы: Информационная безопасность, Bug hunters

Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём!

Я не имею права раскрывать информацию о цели, поэтому давайте назовём её example.com. Это был обычный сайт. Ничего особенного: можно создать аккаунт, войти, поменять пароль и так далее.

Как обычно, я создал два аккаунта. Сначала зарегистрировался и вошёл в аккаунт жертвы, после чего проверил все запросы и ответы через Burp Suite. Я обнаружил, что сайт использует какой-то CSRF-токен для защиты от CSRF-атак. В исходном коде страницы я заметил, что сайтом каждому пользователю присваивается userID. Это шестизначный идентификатор, поэтому его можно легко угадать.

Далее я перешёл в настройки аккаунта, изменил часть своей информации (я всё ещё нахожусь в аккаунте жертвы) и зафиксировал этот запрос.

Читать далее

Подробнее

Читайте также

ИИ научили быстрее выявлять опухоли легких по КТ
03.06.2025 12:45:33 | ferra.ru

Необычная планета в двойной системе: ретроградная орбита и выживание между звездами
03.06.2025 12:41:13 | Хабр

Мишустин пообещал конкурента Nvidia
03.06.2025 12:40:19 | it-world

Книга: «Настоящий SRE: инжиниринг надежности для специалистов и организаций»
03.06.2025 12:39:20 | Хабр

Почему синтетические данные редко используются в реальных задачах
03.06.2025 12:35:40 | Хабр

Творческая переработка MVVM и TCA на примере iOS
03.06.2025 12:29:30 | Хабр

Валидация переменных в Terraform
03.06.2025 12:25:31 | Хабр

Бегущий по дедлайнам: узнали у айтишников, реально ли совмещать спорт и работу
03.06.2025 12:22:38 | Хабр

Почему multiprocessing.Queue() тормозит и как обойти это с помощью shared_memory
03.06.2025 12:16:01 | Хабр

Sony окончательно отказалась от производства смартфонов. Samsung — последний самурай
03.06.2025 12:13:16 | it-world

[Перевод] Архитектурные принципы Spring Security. Часть третья
03.06.2025 12:02:02 | Хабр

Redmi 14C, Note 13 и A3X оказались самыми популярными смартфонами Xiaomi в России
03.06.2025 12:00:43 | ferra.ru

Ученые забили тревогу из-за влияния Starlink на крупнейший телескоп Южной Африки
03.06.2025 12:00:42 | ferra.ru

[Перевод] Лидерство в тестировании: инструменты тестирования
03.06.2025 12:00:17 | Хабр

Не украл, а вдохновился! Как геймдизайнеры крадут ассеты, модели, текстуры и уровни из чужих игр
03.06.2025 12:00:06 | Хабр

Алертинг метрик Pilot в Prometheus
03.06.2025 11:53:40 | Хабр

Читательский дневник для первого класса при помощи Google Sheets
03.06.2025 11:50:35 | Хабр

WMS системы и автоматизация складов. Разбор лучших российских решений
03.06.2025 11:39:02 | Хабр

Комплексные DECT-системы Gigaset PRO. Синхронизация N870 IP PRO в рамках Virtual Integrator
03.06.2025 11:30:44 | Хабр

Уборка будущего наступила. И у неё есть ножки
03.06.2025 11:16:35 | it-world

Ученые создали бумажный тест, выявляющий вирусы за 10 минут
03.06.2025 11:15:31 | ferra.ru

Россия запустит экспериментальные спутники связи этим летом
03.06.2025 11:12:54 | ferra.ru

Умное лето: гаджеты для детей, которые сделают каникулы безопаснее, интереснее и познавательнее
03.06.2025 11:02:14 | Хабр

Microsoft разрешила пользователям удалять браузер Edge в Windows — но только в Европе
03.06.2025 10:40:53 | vc.ru

Диетологи посоветовали отказаться от еды на вынос по пятницам
03.06.2025 10:30:06 | ferra.ru

Что мы теряем, доверяя ИИ?
03.06.2025 10:24:55 | Хабр

ChatGPT vs Claude: Мой опыт после двух месяцев использования двух LLM
03.06.2025 10:24:25 | Хабр

Я бы в физики пошёл. Где меня научат?
03.06.2025 10:15:07 | Хабр

Как перестать беспокоиться и начать внедрять интеграционные тесты
03.06.2025 10:13:44 | Хабр

Кейс адвоката: защитил владельца интеллектуальных прав на программу для ЭВМ
03.06.2025 10:12:24 | Хабр

GigaChat от Сбера внедрят в российскую ОС Astra Linux
03.06.2025 10:02:32 | ferra.ru

MVP по «умному» поиску данных
03.06.2025 10:01:45 | Хабр

Форматирование без боли: ESLint Stylistic вместо Prettier
03.06.2025 09:55:02 | Хабр

Samsung будет сотрудничать с Perplexity для внедрения ИИ в устройства
03.06.2025 09:45:02 | ferra.ru

[Перевод] Современный C++23/26: концепты, корутины и многое другое в высокопроизводительных службах
03.06.2025 09:41:47 | Хабр

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Доступный SUV с мотором от Mitsubishi – стильный вариант для тех, кто ищет 4x4
11.06.2025 06:36:06 | За рулем

Меликов раскритиковал забор вокруг Хучнинского водопада
05.06.2025 09:43:24 | РЕН ТВ

Чудо-материал высшего класса: в РФ создали углеволокно для космической отрасли
05.06.2025 09:41:25 | РЕН ТВ

Россиянка описала отдых в люксовом отеле на Кубе словами «отношение будто свинюшек кормят»
05.06.2025 09:37:15 | Lenta.ru

Задержаны двое сотрудников Ura.ru
05.06.2025 09:36:32 | Life.ru

На Восточном начали заправлять «Фрегат» для запуска «Ионосферы-М» № 3-4
05.06.2025 09:35:56 | Lenta.ru

В Новосибирской области спасли пенсионера, неделю выживавшего в лесу без еды
05.06.2025 09:35:32 | РЕН ТВ

Западных лидеров раскритиковали за бойкотирование диалога с Россией
05.06.2025 09:35:21 | Lenta.ru

Роспотребнадзор проведет массовые проверки в ресторанах и торговых сетях
05.06.2025 09:34:27 | РЕН ТВ

Женщинам назвали неочевидные и при этом важные для сохранения здоровья исследования
05.06.2025 09:34:17 | Lenta.ru

Ученые "Росатома" создали уникальное углеволокно
05.06.2025 09:34:07 | РЕН ТВ

В Госдуме предложили считать многодетными мужчин с детьми от разных браков
05.06.2025 09:33:58 | Lenta.ru

В Японии создали пластик, растворяющийся в воде
05.06.2025 09:33:50 | РЕН ТВ

Болгарские депутаты подрались, обсуждая переход страны на евро
05.06.2025 09:33:32 | РЕН ТВ

США наложили вето на проект резолюции Совбеза ООН о прекращении огня в Газе
05.06.2025 09:33:14 | РЕН ТВ

Редакция Ura.ru объяснила обыски расследованием об утечках
05.06.2025 09:33:03 | Коммерсантъ

CNN: На встрече Трампа и Мерца есть риск "дипломатического взрыва"
05.06.2025 09:33:00 | Российская Газета

В Приморье до суда дошло дело о туристической финансовой пирамиде
05.06.2025 09:32:59 | РЕН ТВ

У владельца фур, из которых дроны атаковали российские аэродромы, нашли бизнес на Украине. Перед терактами он уехал из России
05.06.2025 09:32:03 | Lenta.ru

Российские подростки разрисовали стелу Скорбящей матери
05.06.2025 09:31:29 | Lenta.ru

Обыски проходят в редакции издания URA.RU в Екатеринбурге
05.06.2025 09:31:03 | РЕН ТВ

Мошенники начали красть "лица" россиян
05.06.2025 09:29:31 | РЕН ТВ

Вагоны сошли с рельсов в российском регионе
05.06.2025 09:29:17 | Lenta.ru

Московские вузы закрывают из-за вспышки кори
05.06.2025 09:29:04 | РЕН ТВ

С начала сдачи ЕГЭ с экзамена удалили 483 человека
05.06.2025 09:28:37 | РЕН ТВ

Льготная ипотека для семей участников СВО появится в России
05.06.2025 09:28:14 | РЕН ТВ

Падение мировых цен на нефть ударило по российскому бюджету
05.06.2025 09:28:00 | Lenta.ru

Следователи займутся лишением гражданства семей, топтавших флаг в Обнинске
05.06.2025 09:27:49 | РЕН ТВ

В Новосибирской области спасли пенсионера, шесть дней выживавшего в лесу без еды
05.06.2025 09:27:38 | РЕН ТВ

Раскрыт пол будущего ребенка Тимати
05.06.2025 09:27:23 | Lenta.ru

Скандинавские страны и Канада выделят Киеву $490 на закупку вооружений
05.06.2025 09:27:04 | РЕН ТВ

WSJ: США передумали поставлять Киеву технологии для борьбы с дронами
05.06.2025 09:26:43 | РЕН ТВ

NYT: Трамп считает Зеленского ответственным за эскалацию конфликта
05.06.2025 09:26:19 | РЕН ТВ

Съёмочная группа «Звезды» попала под удар ВСУ в зоне СВО
05.06.2025 09:23:27 | Life.ru

Российские военные вывезли из Сумской области два танка M1 Abrams
05.06.2025 09:21:37 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro