未经许可,不得转载。
文章目录
-
- 前言
- 漏洞1:创建属于其他用户的账户
- 漏洞2:绕过2FA
-
前言
redacted.com是一个管理物联网项目、云解决方案、设备等的平台,其允许在一个用户账户下创建多个账户,并在知道其它用户电子邮件地址的情况下邀请他们加入项目。该网站支持灵活的账户注册,但每次注册都要求输入发送到企业电子邮件的一次性密码(OTP)进行验证。
漏洞1:创建属于其他用户的账户
在个人主页的“创建新账户”功能引起了我的注意。用户可以为不同的管理项目创建多个不同的账户。在用户界面上,只需输入新账户的名称,即可即时创建。
创建新账户的请求响应如下:
可以看到,上图请求包会自动添加
