.comでゼロクリックアカウント乗っ取りを発見し、target.comというプログラムに登録しました。
メールアドレスと電話番号を確認したところ、サーバー側は確認なしに他の番号を受け付けてしまったので、リクエストのIDフィールドを別のアカウントに変更しました。
メールアドレスと電話番号を確認した後、「新しいメールアドレスと電話番号でサーバーにPOSTが送信されました…」と表示されました。
サーバー側は確認なしにすべての情報を検証するので、別のアカウントのメールアドレスと電話番号を変更しました。
その後、Target側からIPアドレスとパスワードの確認を受けました。
コメント