$2200 ATO, который большинство охотников за багами упустили, слишком рано отказавшись от цели
#web #bugbounty #ATO #OTP #статья #перевод
Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, почему всегда стоит доводить дело до конца.
Ссылка на статью
LH | Новости | Курсы | OSINT
#web #bugbounty #ATO #OTP #статья #перевод
Охота за багами – это смесь как технических навыков, так и упорства с любопытством. Иногда самые простые баги остаются незамеченными из-за простых предположений. Эта история не о каком-то революционном эксплойте; она о терпении и о том, почему всегда стоит доводить дело до конца.
Ссылка на статью
LH | Новости | Курсы | OSINT
👍15🔥4❤1
Захват аккаунта: Как я нашел способ получить доступ к любому аккаунту благодаря простой ошибке в регистрации
#статья #перевод #web #bugbounty #OTP #ATO
простой недостаток в процессе регистрации может привести к легкому захвату учетной записи. Обходя проверку электронной почты и используя такую уязвимость, как отсутствие истечения срока действия OTP, я смог легко взять под контроль любую учетную запись пользователя или сотрудника. Я также обнаружил, что, слегка изменив адрес электронной почты, например используя такие варианты, как attabombo5@gmail.coM или moraa3@company.coM, я могу переписать существующую учетную запись и полностью обойти процесс верификации.
Ссылка на статью
LH | Новости | Курсы | OSINT
#статья #перевод #web #bugbounty #OTP #ATO
простой недостаток в процессе регистрации может привести к легкому захвату учетной записи. Обходя проверку электронной почты и используя такую уязвимость, как отсутствие истечения срока действия OTP, я смог легко взять под контроль любую учетную запись пользователя или сотрудника. Я также обнаружил, что, слегка изменив адрес электронной почты, например используя такие варианты, как attabombo5@gmail.coM или moraa3@company.coM, я могу переписать существующую учетную запись и полностью обойти процесс верификации.
Ссылка на статью
LH | Новости | Курсы | OSINT
👍18❤7🔥7
Захват учетной записи через отравление сброса пароля
#статья #bugbounty #web #ATO #перевод
Как охотники за ошибками, мы видим, как приложения снова и снова совершают одни и те же ошибки. Одна из них — позволить пользователям контролировать то, что они не должны. Сброс пароля являются перспективной мишенью. Если приложение позволяет данным, вводимым пользователем, влиять на электронное письмо для сброса пароля (например изменять URL-адреса перенаправления или внедрять параметры), им можно злоупотреблять для перехвата учетных данных. Злоумышленники могут настроить входные данные так, чтобы отправить пользователей на вредоносный сайт вместо законной страницы сброса, украсть токен и завладеть учетными данными. Это не теория — это происходит постоянно, особенно в плохо защищенных приложениях.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #web #ATO #перевод
Как охотники за ошибками, мы видим, как приложения снова и снова совершают одни и те же ошибки. Одна из них — позволить пользователям контролировать то, что они не должны. Сброс пароля являются перспективной мишенью. Если приложение позволяет данным, вводимым пользователем, влиять на электронное письмо для сброса пароля (например изменять URL-адреса перенаправления или внедрять параметры), им можно злоупотреблять для перехвата учетных данных. Злоумышленники могут настроить входные данные так, чтобы отправить пользователей на вредоносный сайт вместо законной страницы сброса, украсть токен и завладеть учетными данными. Это не теория — это происходит постоянно, особенно в плохо защищенных приложениях.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4❤2
$$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
#статья #ATO #CORS #bugbounty #перевод
В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #ATO #CORS #bugbounty #перевод
В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥3❤2