本文主要是介绍【网络安全】XSS+OTP绕过+账户接管,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
未经许可,不得转载。
文章目录
- 正文
- XSS
- OTP绕过
- 账户接管
正文
目标:www.example.com
XSS
不断寻找可能存在XSS的点位。
终于,在个人资料页面:www.example.com/profile_details.php?userid=
,使用Payload<script>alert(1)</script>
,实现XSS:
因此,能够实现接管账户,但此漏洞需要用户交互,危害程度降低。
OTP绕过
忘记密码功能,只需要输入手机号,不需要输入用户名。输入正确的手机号验证码后,请求响应如下:
输入错误的手机号验证码,响应如下
这篇关于【网络安全】XSS+OTP绕过+账户接管的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!