بتكلم عن ثغرة من فقرة السناب محبوبة الكل #bug_tips
الثغرة هذي تصير في تطبيقات اللي يكون فيها one step login او هذا اللي جربته على الأقل
خطورة الثغرة 🛑
account takeover او اختراق الحساب
خلونا نبدا 👇🏻
الثغرة هذي تصير في تطبيقات اللي يكون فيها one step login او هذا اللي جربته على الأقل
خطورة الثغرة 🛑
account takeover او اختراق الحساب
خلونا نبدا 👇🏻
ايش ممكن يصير هنا؟ ممكن يتسرب رمز التحقق عن طريق الAPI والسبب misconfiguration.
كيف نوصل لرمز التحقق؟
عن طريق اعتراض الاتصال سواء من المتصفح باستدخدام dev tools او باستخدام proxy مثل burp suite
يتبع 👇🏻
كيف نوصل لرمز التحقق؟
عن طريق اعتراض الاتصال سواء من المتصفح باستدخدام dev tools او باستخدام proxy مثل burp suite
يتبع 👇🏻
نفس الثغرة لكن باستخدام proxy
- طبعا اول شي تفتح ال burp suite
- ندخل رقم الجوال ونضغط على المتابعة ونتاكد من اعتراض الطلب
- نسوي Forward للطلبات الين نوصل لطلب من ال api نقدر من خلاله نوصل لكود التحقق.
صورة للتوضيح 👇🏻
- طبعا اول شي تفتح ال burp suite
- ندخل رقم الجوال ونضغط على المتابعة ونتاكد من اعتراض الطلب
- نسوي Forward للطلبات الين نوصل لطلب من ال api نقدر من خلاله نوصل لكود التحقق.
صورة للتوضيح 👇🏻
وبس هذا اللي كان عندي اليوم اذا عجبتكم واستفدتوا من الفقرة،
ادعموها بالريتويت وتعليقاتكم لنستمر👏🏻
ادعموها بالريتويت وتعليقاتكم لنستمر👏🏻
زي ماتشوفون عندا موقع يطلبك رقم جوال،
بعدها بيوصلك رمز تحقق عالرقم
عشان تقدر تدخل على حسابك.
بعدها بيوصلك رمز تحقق عالرقم
عشان تقدر تدخل على حسابك.
هنا قدرنا نسرب رمز التحقق لاي حساب باستغلال api misconfiguration
- طبعا اول شي تفتح الdev tools وبعدها network
- ندخل رقم الجوال ونضغط على المتابعة
- لو تلاحظون من الاتصالات ظهر لي رد من ال api يحتوي على كود التحقق.
- طبعا اول شي تفتح الdev tools وبعدها network
- ندخل رقم الجوال ونضغط على المتابعة
- لو تلاحظون من الاتصالات ظهر لي رد من ال api يحتوي على كود التحقق.
جاري تحميل الاقتراحات...