【网络安全】逻辑漏洞:绕过注册流程OPT

于 2024-08-20 13:30:47 发布
阅读量28 收藏 3
点赞数 3
分类专栏: 网络安全 文章标签: web安全 漏洞挖掘
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/141356096
版权

未经许可,不得转载。

文章目录

正文

目标应用程序是一个在线银行平台,提供一系列金融服务,包括高息储蓄账户、免费交易和便捷的汇款。用户可以通过用户友好的界面方便地管理财务,使用账单支付、国际汇款和财务见解等功能。该平台旨在提供无缝、高效的银行体验,专注于为用户带来高回报和低成本。

在注册过程中,应用程序需要验证电子邮件和电话号码。验证顺序包括首先验证电子邮件地址,然后验证电话号码。

在注册时,我拦截了负责将验证码发送到电子邮件地址的请求:

{ “email” :“<电子邮件地址>” ,“otpChannel” :“EMAIL” }

我输入电子邮件的验证码后,下一步是电话号码验证。但是,当我拦截的请求包重新发送时,我的电子邮件仍然收到了验证码。

而当我在电话号码栏中输入我获取到的电子邮件验证码时,我成功完成了注册。这表明,电子邮件的 OTP 可用于验证电话号码,从而损害注册过程的完整性。

原文出处:
https://medium.com/@rifqihz/bounty-weekend-phone-verification-bypass-with-business-logic-vulnerability-1b2844b93d5a

秋说
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
漏洞挖掘】——141、 逻辑漏洞之身份验证汇总
Fly_鹏程万里
07-26 63
身份验证是网站必不可少的一项业务功能设计,而身份验证机制的选择和设计也会带来诸多的安全问题,在本篇文章中我们将介绍网站使用的身份验证机制以及这些验证机制中存在的安全漏洞并对一些安全防护机制和设计中存在的缺陷和绕过方式进行简易的刨析和演示,同时会对不同身份验证机制中存在的固有安全漏洞进行分析,最后我们会介绍如何使身份验证机制尽可能安全的方法。
Web安全基础学习:任意文件下载漏洞
2401_84578953的博客
08-13 861
一些网站由于业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,攻击者就能够通过回溯符。
网络安全】Fastjson的反序列化漏洞复现
kali_Ma的博客
12-26 2686
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
网络安全实验4 SQL注入攻击
一半西瓜的博客
01-30 1万+
赞赏码 & 联系方式 & 个人闲话 【实验名称】SQL注入攻击 【实验目的】 1.了解SQL注入的基本原理 2.掌握PHP脚本访问MySQL数据库的基本方法 3.掌握程序设计中避免出现SQL注入漏洞的基本方法 【实验原理】 1.什么是SQL注入攻击 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服...
安全漏洞概念及分类
热门推荐
maoji的专栏
10-12 3万+
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。 安全漏洞及相关的概念 本节介绍什么是安全漏洞及相关的概况。 安全漏洞的定义 我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、
2024年数字中国创新第四届红明谷杯网络安全大赛WP
渗透测试研究中心
07-21 630
WEB ezphp 题目描述:一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统,以提高数据传输的效率和安全性,团队决定采用PHP 8.3.2来完善通信系统开发。 考点:php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考:https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2Bx...
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一篇文章,希望能够帮助到您!
[BeginCTF]真龙之力,网络安全面试笔试题目
2401_83974590的博客
04-18 514
【代码】[BeginCTF]真龙之力,网络安全面试笔试题目。
89.网络安全渗透测试—[常规漏洞挖掘与利用篇5]—[文件包含漏洞详解&实战示例]
qwsn
02-01 3578
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、文件包含漏洞详解 1、文件包含漏洞相关概念 2、PHP文件包含漏洞相关概念 3、PHP文件包含漏洞利用:`构造payload` 4、PHP文件包含漏洞利用:`读取铭感文件` 5、PHP文件包含漏洞利用:`简单的目录遍历绕过+截断绕过` 6、PHP文件包含漏洞利用:`文件上传+文件包含-getshell` 7、PHP文件包含漏洞利用:`Apache日志文件包含getshell` 8、PHP文件包含漏洞利用:`远程文件包
huhi.rar_系统/网络安全_Others_
08-11
9. DibHeads.opt:用户自定义的编译器选项和项目设置。 10. DibHeads.plg:这是Visual Studio的插件或配置文件,可能用于调试或其他开发辅助功能。 通过这些文件,我们可以推断出这个项目可能是在开发一个Windows下...
9359030.rar_系统/网络安全_Visual_C++_
08-09
标题中的"9359030.rar_系统/网络安全_Visual_C++_"表明这是一个与系统安全和网络编程相关的项目,使用的开发工具是Visual C++。Visual C++是Microsoft公司开发的一个集成开发环境(IDE),它支持C++语言,同时提供了...
HARP_Opt:HARP_Opt
05-22
#Introduction HARP_Opt(H orizo​​ntal甲XISřOTOR P erformance选项imization)利用MATLAB的优化算法和国家可再生能源实验室(NREL) 叶素动量(BEM)代码以设计轴流风和水(即流体动力)涡轮转子。 该代码优化...
nessus2022-3-8漏洞更新包all-2.0.tar.gz
03-08
nessus2022-3-8漏洞更新包all-2.0.tar.gz ,以把插件包上传到服务器后, 执行/opt/nessus/sbin/nessuscli update 插件包文件路径
laravel-double-opt-in:Laravel 5.1的双选注册
05-02
Laravel 5.1的双选注册 该软件包在用户激活Laravel 5.1时提供了双重选择注册。 特征: 新注册的用户被标记为“无效”,并且无法登录该应用程序 注册后会向用户发送带有验证链接的电子邮件 用于请求新的激活电子...
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 1042
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 617
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-20 206
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
最新发布
A526847的博客
08-20 321
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值