亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么分析由Token泄露引發的嚴重漏洞

發布時間:2021-12-10 15:44:07 來源:億速云 閱讀:203 作者:柒染 欄目:大數據

怎么分析由Token泄露引發的嚴重漏洞,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

漏洞信息        
發現者:Alex Birsan
漏洞種類:信息泄露
危害等級:嚴重
漏洞狀態:已修復  


前 言        

Alex Birsan發現了Recaptcha實現所使用JS文件的token身份憑證信息。借助XSS攻擊獲取其他用戶的token身份憑證,當用戶訪問其惡意登錄鏈接輸入憑證后,便會觸發身份驗證獲取到用戶密碼。

     
漏洞再現
Alex Birsan在網站登錄表單中,發現了一個javascript文件,里面似乎包含了CSRF token和session ID信息。

然后通過一些簡單且快速的測試,利用xss漏洞攻擊,可以獲取受害者有效的身份憑證。
 


怎么分析由Token泄露引發的嚴重漏洞


然而,好的攻擊方式取決于你對它的攻擊利用。所以我不僅僅只是滿足于這樣,決定從_csrf和_sessionID參數內容,看看它們是否能夠進行實際情況利用。

然后我進行了大量的測試,不斷地將_csrf和_sessionID參數進行替換。很遺憾,還是沒有能夠成功進行繞過攻擊。
 

而后我重新返回我們的測試語句,發現PayPal原來存在這驗證機制用來防止暴力破解攻擊。
 


怎么分析由Token泄露引發的嚴重漏洞

而我繼續進行深究看見,我們如果進行了暴力破解后,網站就會返回一個身份驗證的頁面,其中就包含上述的Goole驗證碼,當用戶成功輸入驗證碼后,則會對/auth/validatacaptcha頁面進行POST請求。  


怎么分析由Token泄露引發的嚴重漏洞


而之后返回的信息當中,包含著自動提交表單,里面有用戶登錄請求的所有參數(包括電子郵件和純文本密碼)。  


怎么分析由Token泄露引發的嚴重漏洞


可以利用這種手段,構造新的登錄請求,獲取reCAPTCHA參數令牌,對/auth/validatacaptcha進行檢索數據,并將其顯示在頁面上。

 

怎么分析由Token泄露引發的嚴重漏洞



     
漏洞影響

獲取用戶郵箱帳號和密碼等敏感信息。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

威海市| 德格县| 呼和浩特市| 鲁甸县| 仲巴县| 文登市| 新河县| 收藏| 麻城市| 灌云县| 安庆市| 黔西| 华容县| 上虞市| 瑞丽市| 同江市| 九龙坡区| 阿拉善右旗| 宁城县| 太仓市| 上思县| 连南| 固安县| 平谷区| 潞城市| 彰武县| 宽甸| 梁河县| 济阳县| 翁牛特旗| 垦利县| 和龙市| 敦化市| 沧源| 溆浦县| 平阴县| 二手房| 巫溪县| 镶黄旗| 定陶县| 华阴市|