大家好,搓澡张师傅(国五证书)又来搬运啦。
今天搬运的漏洞链接 HackerOne
厂商:Reddit
漏洞类型:web
严重程度:高危
奖金:5000刀
复现:
1 用邮箱A在网站注册账号https://ads.reddit.com
2 先不要邮件验证
3 抓包 https://ads.reddit.com/account/account_id/inventory-type
4 改包,把包里的验证邮件改成B
5 B邮件通过验证,并且接管了A邮件的职责
总结:
1.这个洞跟之前的一些验证码找回密码的漏洞很像。我前段时间也看过一些厂的验证码方面的业务(登录注册找回密码),收获不多。
2.国外的网站、App由于全球化运营,没有大一统的短信运营商,所以一般账户体系里还有比较传统的邮件验证方式,这点跟国内很不一样
3.这个洞的思路貌似很简单(但是我却没挖到,需要反思)。
4.其实我也比较好奇,Reddit是个大厂,抓包竟然直接改参数就行了。国内一般厂商接口还加个sign什么的。
5.细心细心再细心,别被自己吓住了,有机会的地方一定要试一试。无心插柳没准会make a big news.
6.周末快乐