当前位置: 首页 > article >正文

【网络安全】分析JS文件实现账户接管

未经许可,不得转载。

文章目录

    • 正文

正文

网站使用的是简单的OTP(一次性密码)验证机制,通过用户注册时提供的电子邮件发送邮箱验证码。在功能有限的情况下,我选择去分析网站加载的JavaScript文件。

我发现了一个名为 saveJobseekerPasswordInCache 的函数:

img

img

这个函数虽然没有在当前的注册或登录流程中使用,但仍然可以被调用。所以我推测这个函数可能是过去的登录方式或未完成的开发功能,因为它好像试图在缓存中保存密码。

我将该接口构造请求后,结果没有变化:

curl -X POST https://example.com/ajax/jobseeker/popups/accountCreationFlow/ajax/saveJobseekerPasswordInCache.php \
     -d "typeProces

http://www.kler.cn/a/297175.html

相关文章:

  • 数据结构:哈希表
  • java后端保存的本地图片通过ip+端口直接访问
  • LG AI研究开源EXAONE 3.0:一个7.8B双语语言模型,擅长英语和韩语,在实际应用和复杂推理中表现出色
  • vim常用快捷键
  • 数据库的操作:数据完整性约束是什么?
  • linux-基础知识3
  • Arduino IDE的安装
  • springcloud间通信的方式
  • 非标金属零件加工的质量与效率是如何体现的?
  • Figma如何给设计的UI套样机
  • RK3562 NPU供电要求
  • wordpress做后台的资讯类小程序源码
  • Anaconda Prompt 安装paddle2.6报错
  • 线程池实现服务端
  • Linux Runtime PM(运行时电源管理)框架API
  • 97.游戏的启动与多开-共享内存多开检测
  • 九,自定义转换器详细操作(附+详细源码解析)
  • c语言--力扣简单题目(移除链表元素)讲解
  • UE4_后期处理_后期处理材质及后期处理体积一
  • 从Milvus迁移DashVector