リセットパスワードトークン漏洩による[アカウント乗っ取り]、報酬2500ユーロ from infosecwriteups.com security summary Twitter Facebook はてブ Pocket LINE コピー 2024.04.06 ”[Account through reset password token leaked in response, 2500 € Reward – infosecwriteups.com”] 企業をアカウント乗っ取りから守るデフォルト認証情報は非常に重要であり、脆弱性の分析には 2500 ユーロの報酬が与えられます。 攻撃者は、被害者のアカウントのパスワードのリセットを要求する HTTP リクエストをエンドポイントに送信します。 続いて、パスワード トークンをリセットします。 特に、攻撃者は被害者が何もしなくてもアカウントにアクセスできます。 現在、PII をユーザーとして列挙できます。 ただし、ハッシュ パスワードを復号化することはできません。
コメント