当前位置: 首页 > article >正文

【网络安全】漏洞挖掘之会话管理缺陷

article 2024/9/23 7:24:20

未经许可,不得转载。

文章目录

    • 正文

正文

目标:example.com

该站点允许存在主要邮箱和次要邮箱。

在尝试使用次要邮箱和密码登录时,由于账户最初是通过主邮箱创建的,无法登录。于是,我通过次要邮箱使用Google OAuth进行登录。令人意外的是,我成功通过Google OAuth登录了该账户。

接着,我在两个浏览器上登录了同一个账户:Chrome浏览器使用主邮箱(attacker1@gmail.com)和密码登录,Firefox浏览器通过次要邮箱(attacker2@gmail.com)使用Google OAuth登录。接下来,我在Chrome浏览器中将次要邮箱更改为mine@gmail.com,并禁用了断开Google账户的选项。

如果程序是正常工作的,那么此时Firefox浏览器上的会话应该失效。

接着,我重新加载了Firefox的会话,发现会话仍然保持活跃状态。然后我尝试在Firefox浏览器将次要邮箱从mine@gmail.com改回attacker2@gmail.com,发现这些修改成功了。当我重新加载Chrome的会话时


http://www.kler.cn/news/303448.html

相关文章:

  • Layout 布局组件快速搭建
  • 如何建设数据中台(五)——数据汇集—打破企业数据孤岛
  • Android 12.0 Launcher修改density禁止布局改变功能实现
  • 【C++题解】1398. 奇偶统计
  • Apple Watch Series 10 鈦強勁
  • Swift语言基础教程、Swift练手小项目、Swift知识点实例化学习
  • IT从业者如何提升自身竞争力,应对全球化挑战。
  • Django笔记一:搭建Django环境与URL路径访问
  • 数据结构-线性表顺序单项链表双向链表循环链表
  • B端界面看国外,清新活泼又可爱。
  • 31. 如何在MyBatis中使用自定义拦截器?有哪些常见应用场景?
  • ASPICE评估:汽车软件质量的守护神
  • 强!推荐一款Python开源自动化脚本工具:AutoKey!
  • EmguCV学习笔记 C# 11.6 图像分割
  • 力扣最热一百题——矩阵置零
  • 技术周总结 09.09~09.15周日(C# WPF WinForm)
  • 【运算你真的理解吗?】
  • 在 Java 编程中优化字符串处理:避免 `StringIndexOutOfBoundsException` 和提升代码可读性
  • ros中地面站和无人机跨平台数据传递,使用 UDP 进行跨平台传输(python代码)
  • 【物理编程】解决物理压力的正确画法
  • 记一次Hiveserver2连接异常的解决-腾讯云-emr
  • 量化交易策略:掌握能量潮指标,提前捕捉卖出时机(Python代码解析)
  • vue3项目中使用pdfjs-dist踩坑记录
  • Docker基本管理--Dockerfile镜像制作(Docker技术集群与应用)
  • ubuntu20.04 Qt6引用dcmtk库实现dicom文件读取和字符集转换
  • CSP-J 之计算机基本结构
  • YOLO介绍—datawhale
  • C语言 | Leetcode C语言题解之第404题左叶子之和
  • shell脚本语法
  • ASP.NET MVC 迅速集成 SignalR