【网络安全 | 漏洞挖掘】Stripe 子系统 TaxJar 的 ATO 漏洞挖掘之旅
未经许可,不得转载。
文章目录
-
- 正文
在这篇文章中,我将带大家回顾我是如何在 Stripe 旗下的 TaxJar 发现一个账户接管(Account Takeover)漏洞的。
正文
进入 TaxJar 后,我花了一些时间四处探索,发现了一些零碎的小问题。然而,我的目标是以低权限用户的身份邀请一个新成员,并赋予其管理员权限。看似简单,实则充满挑战。
我最初尝试通过 /organization_invitations 端点发送邀请请求:
请求包如下:
安全测试中,一个值得深思的问题是:哪里是大多数用户(甚至漏洞猎人)只访问一次,然后永远不会再回头的地方?
答案显而易见——账户注册流程。
用户在注册时往往只顾快速完成流程,几乎不会回头检查。 但正因如此ÿ