当前位置: 首页 > article >正文

【网络安全】漏洞挖掘之会话管理缺陷

article 2024/11/14 20:13:29

未经许可,不得转载。

文章目录

    • 正文

正文

目标:example.com

该站点允许存在主要邮箱和次要邮箱。

在尝试使用次要邮箱和密码登录时,由于账户最初是通过主邮箱创建的,无法登录。于是,我通过次要邮箱使用Google OAuth进行登录。令人意外的是,我成功通过Google OAuth登录了该账户。

接着,我在两个浏览器上登录了同一个账户:Chrome浏览器使用主邮箱(attacker1@gmail.com)和密码登录,Firefox浏览器通过次要邮箱(attacker2@gmail.com)使用Google OAuth登录。接下来,我在Chrome浏览器中将次要邮箱更改为mine@gmail.com,并禁用了断开Google账户的选项。

如果程序是正常工作的,那么此时Firefox浏览器上的会话应该失效。

接着,我重新加载了Firefox的会话,发现会话仍然保持活跃状态。然后我尝试在Firefox浏览器将次要邮箱从mine@gmail.com改回attacker2@gmail.com,发现这些修改成功了。当我重新加载Chrome的会话时


http://www.kler.cn/a/303448.html

相关文章:

  • Python 随笔
  • vivo 游戏中心包体积优化方案与实践
  • 虚拟机安装Ubuntu 24.04服务器版(命令行版)
  • 使用Python实现定期从API获取数据并存储到数据库的完整指南
  • 以色列支付龙头遭DDoS攻击,各地超市加油站等POS机瘫痪
  • STM32单片机WIFI语音识别智能衣柜除湿消毒照明
  • Layout 布局组件快速搭建
  • 如何建设数据中台(五)——数据汇集—打破企业数据孤岛
  • Android 12.0 Launcher修改density禁止布局改变功能实现
  • 【C++题解】1398. 奇偶统计
  • Apple Watch Series 10 鈦強勁
  • Swift语言基础教程、Swift练手小项目、Swift知识点实例化学习
  • IT从业者如何提升自身竞争力,应对全球化挑战。
  • Django笔记一:搭建Django环境与URL路径访问
  • 数据结构-线性表顺序单项链表双向链表循环链表
  • B端界面看国外,清新活泼又可爱。
  • 31. 如何在MyBatis中使用自定义拦截器?有哪些常见应用场景?
  • ASPICE评估:汽车软件质量的守护神
  • 强!推荐一款Python开源自动化脚本工具:AutoKey!
  • EmguCV学习笔记 C# 11.6 图像分割
  • 力扣最热一百题——矩阵置零
  • 技术周总结 09.09~09.15周日(C# WPF WinForm)
  • 【运算你真的理解吗?】
  • 在 Java 编程中优化字符串处理:避免 `StringIndexOutOfBoundsException` 和提升代码可读性
  • ros中地面站和无人机跨平台数据传递,使用 UDP 进行跨平台传输(python代码)
  • 【物理编程】解决物理压力的正确画法