逻辑漏洞渗透与攻防(四)之任意账号注册

最新推荐文章于 2024-07-02 00:00:00 发布
最新推荐文章于 2024-07-02 00:00:00 发布
阅读量925 收藏
点赞数 1
分类专栏: Web漏洞 文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/128567344
版权
Web漏洞 专栏收录该内容
31 篇文章 17 订阅 ¥9.90 ¥99.00
订阅专栏
本文探讨了逻辑漏洞中的任意账号注册问题,包括未验证的邮箱/手机号、批量注册、个人信息伪造、前端验证审核绕过以及邮箱/手机号注册激活验证的规避方法。通过实例展示了如何使用burpsuite进行重放攻击,并强调在实战中只需验证漏洞存在即可。
摘要由CSDN通过智能技术生成

目录

任意账号注册

未验证邮箱/手机号

批量注册  

个人信息伪造  

前端验证审核绕过

邮箱/手机号注册激活验证绕过

用户名覆盖

任意账号注册

未验证邮箱/手机号

未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录。然而有时候开发人员并不去审核邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。我们可以通过抓取数据包,不断的将邮箱/手机号加一加一去爆破,这样如果线程够多,很可能能撑爆网站的数据库。

了解本专栏 订阅专栏 解锁全文
怰月
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞挖掘】——138、 逻辑漏洞任意用户注册
Fly_鹏程万里
07-26 81
用户注册时一般会采用短信验证码的方式来对用户的身份进行验证,但是部分网站在进行验证时未严格的检查手机号码与短信验证码的一致性或者短信验证码使用4位数导致可以批量保利猜解导致任意用户注册
逻辑漏洞挖掘——任意账号密码(用户名/前端验证/激活验证/批量注册)
m0_61506558的博客
08-15 908
1、未验证邮箱/手机号未验证邮箱/手机号,目前很多应用为了方便用户记录自己的用户名与密码,都可以使用邮箱跟手机号作为登录用户名,因此很多应用在注册的时候就要求用户填写,一般情况下该应用都会发送激活信息,用户在收到激活信息后才能登录然而有时候开发人员并不去审核邮箱/手机号是否有效,所以可以利用该缺陷,任意注册账号。填写邮箱后,并没有在邮箱发现任何激活信息,且直接把邮箱当作用户登录名使用。.........
逻辑漏洞----任意账号注册
qq_44418229的博客
07-26 7575
逻辑漏洞--未验证,批量注册,个人信息伪造,前端绕过,用户名覆盖
任意用户注册任意密码重置
最新发布
aihua002的博客
07-02 260
( 狗头,11位 有点疯狂了, 要是有个 越权查看手机号 就很棒棒了)“将 false 改为true ”就可以成功绕过验证码了。true or false 这是一个问题!我又重新审视了一下这注册模块与任意密码重置模块,在找回密码模块的时候 也会先校验账号是否存在。这是网站致命的地方,一旦被不法分子利用,在最近的测试中遇到了一个很有趣的点。这个手机号肯定不是我的(狗头),我又仔细看了看 密码重置的位置,呦呵~~~~~~ 注册成功了,而且是那种任意账号密码重置!哎呀,放错台词了,应该是。
任意注册漏洞
2301_80127209的博客
11-14 404
目录一漏洞介绍二实战演示三漏洞修复本文由掌控安全学院 - 小博 投稿1.未验证邮箱/手机号 情景:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名(因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录) 缺陷: 1、未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号 2、未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)2、不安全验证邮箱/手机号 用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行
漏洞-任意账号注册
zkaqlaoniao的博客
11-14 800
1.未验证邮箱/手机号 情景:应用为了方便用户记录用户名,使用邮箱和手机号作为用户名(因此很多应用在注册的时候就要求用户填写,多数时候都会给用户发送激活信息,激活后才能登录) 缺陷: 1、未审核邮箱/手机号是否有效(及未发送验证信息),从而实现任意注册账号 2、未验证数据库中是否已经存在相同的用户名(导致同一账号,有2个密码,且用户数据产生读取问题)2、不安全验证邮箱/手机号 用户注册邮箱/手机号提交后,会通过发验证码等方法对其真实性进行验证 缺陷: 1、返回的验证码:验证码信息会隐藏在返回包中,或hidd
2024攻防演练利器之必修高危漏洞合集
05-26
随着网络安全的发展和攻防演练工作的推进,红蓝双方的技术水平皆在实践中得到了很大的提升,但是数字化快速发展也导致了企业的影子资产增多,企业很多老旧系统依旧存在历史漏洞,与此同时,在攻防演练期间,往往会...
Web漏洞渗透测试靶场.zip
01-16
其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗...
任意用户注册
qq_41232519的博客
03-31 2414
1.注册页面随便填(电话号码最好11位,前端js验证),然后抓包,点击免费获取验证码, 2.返回包中存在判断,下图是验证码错误的时候 3.将状态值改为1,此时手机验证码已经发送出去了 4.这时候,手机验证码随便填4位数(不要问我为啥,因为用我自己的手机试过了),发送出去的包里面,只存在3个数据(手机号,手机短信验证码,密码) 5.将包发送到intruder中去(ctrl+i),将验证码...
任意账号注册分析&&0元购物漏洞实战
永不垂头的博客
08-13 372
任意账号注册分析&&0元购物漏洞实战 一、任意账号注册分析 127.0.0.1:800/74cms_v3.1.20111210_beta/ http://127.0.0.1:800/74cms_v3.1.20111210_beta/user/user_reg.php 修改后,返回错误 发现与账号邮箱有关,发送到intruder,进行爆破。 爆破成功!!! 随机选取一个成功的进行登陆: 登录成功: 二、0元购物漏洞实战: 用burp抓包: 方法二: 则
某公司公众号任意用户注册漏洞利用
李熠专用博客_白帽子一枚,人称低危终结者
09-17 2002
现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册漏洞,就比如下面的某公众号。 漏洞利用 漏洞URL: http://wx.xxxx.qjcode.com/app_api/login/register 复现步骤: 进入该公众号,点击个人中心->登录,并切换到注册界面: 点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。 该公众号还存在忘记密码按照同样方式操
Crawlab漏洞学习——任意用户添加漏洞
记录并分享学习安全的知识点..
09-25 491
Crawlab users 的 api 存在任意用户添加,且添加为未授权接口,可通过添加后在后台进一步攻击。
web渗透思路】任意账号注册、登录、重置、查看
热门推荐
11-23 1万+
渗透思路】任意用户专题
Joomla! 任意用户注册与提权漏洞 请及时更新
weixin_34018202的博客
10-31 304
2019独角兽企业重金招聘Python工程师标准>>> ...
浅析一次任意用户注册漏洞挖掘过程
李熠专用博客_白帽子一枚,人称低危终结者
10-09 2683
漏洞发现 输入手机号,点击发送验证码,发现验证码只有4位数字,我的经验告诉我,此处有一定概率存在任意用户注册漏洞漏洞利用 输入手机号,点击发送验证码,再依次输入验证码(此处随便输入,方便抓包)和密码,用BurpSuit抓包,并尝试验证码爆破。 最终成功注册漏洞修复 1.验证码设置为6位数。 2.对验证码校验做限制,如输错5次则要求输入图片验证码。 3.对同一个手机号,只允许有限次的错误校验。 ...
任意用户注册&任意用户密码修改
1stPeak's Blog
12-22 3274
1、任意用户注册 漏洞描述: 用户手机获取的验证码只有位数字,可对其进行爆破,使用任意手机号进行注册并登录 漏洞验证: 2、任意用户密码修改 漏洞描述: 用户手机获取的验证码只有位数字,可对其进行爆破,可以对任意手机号进行密码修改 漏洞验证: ...
内网攻防实践:端口转发与非域账号渗透教程
Lcx工具在此次分享中扮演了关键角色,它是一种端口转发工具,用于实现内网穿透,帮助进行安全渗透测试和攻击防御演练。 首先,作者介绍了如何利用Lcx进行反射操作,即在目标机器上执行Lcx.exe-slave命令,将一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值