5日後、チームからLowへの懸賞金の返信が届きました。
これは、サブドメインの乗っ取りを確認した後のことですが、サブドメインの乗っ取りの可能性は見当たりませんでした。
しかし、メールアドレスを自分のものに変更したところ、サーバーは他の番号やメールを認証なしで受け付けるようになりました。
今のところ、2つ目のアカウントで500ポンドの懸賞金を獲得できています。
IDOR経由でアカウント乗っ取り(ATO)を発見し、500ドルの報奨金を獲得した経緯 from infosecwriteups.com
security summary5日後、チームからLowへの懸賞金の返信が届きました。
これは、サブドメインの乗っ取りを確認した後のことですが、サブドメインの乗っ取りの可能性は見当たりませんでした。
しかし、メールアドレスを自分のものに変更したところ、サーバーは他の番号やメールを認証なしで受け付けるようになりました。
今のところ、2つ目のアカウントで500ポンドの懸賞金を獲得できています。
コメント