رتبها

ناصر بن حاسن | أمن سيبراني🛡

7 تغريدة 152 قراءة Mar 25, 2021

في هذا الثريد .
بوريكم كيف مكتشف الثغرات يفكر خارج الصندوق ويكتشف ثغره .🪄
دايم اقول طريقة ايجاد الثغره بتفكير خارج الصندوق هو المهم❗️❗️.
طبعا هالثغره اكتشفتها من فتره وحكتب ثريد عنها.
لايك وريتويت للتغريده واذا تبيني اكمل فمثل هالثريدات تفاعل بالكومنت🥳

قبل لا ابدا .
الثغره كانت 🛡
IDOR Lead To Account Takeover
بكتب الثريد كخطوات وبتوضح لكم الفكرة.
1 - سجل حسابين فالموقع
الأول : attacker-123@gmail.com
الثاني : victim-123@gmail.com
اللي بنسويه نخترق حساب ال victim عن طريق حساب ال attacker.
يتبع ...

2 - طيب بعد ماسويت الحسابين ، سوي استعادة كلمة المرور لحساب
attacker-123@gmail.com
بتوصلك رسالة عالايميل طبعا اللي هي استعادة كلمة المرور لحسابك .
يتبع ..

بعد ماتوصلك رسالة استعادة الباسورد راح يحولك لصفحة تغير الباسورد لحسابك.
ملاحظة : للحين مابدينا فالاختراق كل اللي سويناه استعادة كلمة المرور لحسابنا .
طبعا الصورة مو نفس اللي بالموقع فقط للتوضيح.
يلا نكمل، املي الفراغات وشغل burpsuite اضغط save وراح يحفظ معاك ال request
يتبع

طبعا هذا ال Request بعد ماعترضناه
بال burpsuite ✅
لو تلاحظون موجود ايميلي attacker-123@gmail.com
وبارميتر للباسورد وتاكيد الباسورد.
طيب اللي سويته تريك بسيط.🪄
يتبع ...

بدال ما ارسل ال Request على انه ايميلي ، جربت ارسله على انه ايميل ال victim يعني ماحيتغير الباسورد عندي بيتغير باسورد ال victim اللي هو الحساب الثاني .
مثل ماتشوفون . بالصوره غيرته ✅
يتبع ..

وهنا مثل ماتشوفون رجعلي بال Response ، ان الحساب تغير رمزه✅.
وبكذا قدرت اخترق اي حساب داخل الموقع 🪄.
وبس هذا كان ثريد لتجاربي مع اكتشاف القغرات وحاولت اعيشكم جو مكتشف الثغرات .✅
اذا تبون اكمل بمثل هالثريدات ، لايك وات كو لي كومنت 👍🏻♥️

جاري تحميل الاقتراحات...

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

فك الثريد