揭秘:如何分分钟黑掉你的eBay账号

揭秘:如何分分钟黑掉你的eBay账号

黑帽SEO访客2021-10-12 4:30:007932A+A-

  还记得eBay么?还记得那曾经的一“大波”漏洞的事情么?

  四个月之前,eBay曾经遭遇过“黑色星期五”(http://www.freebuf.com/news/35683.html),那次的事件导致大约14500万来自世界各地的用户账户遭到了泄露。没有永远的安全,这次同样是eBay,但是确是不同的漏洞——eBay高危漏洞再度将百万用户账户陷入危险之中。

  四个月前,一位埃及的安全研究员“Yasser H. Ali’”报告了这个漏洞,而且表明这个漏洞有可能被用作有针对性的网络犯罪。下面,让我们看一下这个漏洞是怎么回事。

  怎样黑掉任意人eBay账户?

  漏洞存在于eBay的重置密码功能,当我们点击“忘记密码”功能的时候,eBay会要求我们提交一个账户名称。

  提交之后,ebay会要求用户选择一种重置密码的方式:获取Gmai邮件或者获取手机短信。

  这里我们选择第一种方式,提交之后截包,我们会在提交之后的url中得到一个reqinput的随机数,而这个随机数就是今天的重点——eBay修改密码的认证字符串——我们将其复制下来,然后Forward一下,受害者就收到了一份带有密码重置链接的邮件。然后我们就可以等着受害者点击这个链接。

  此时,我们再将这串随机数给我们事先截包的修改密码的POST包的reqinput赋值,然后提交,密码就会被修改。这里有一个条件限制,就是修改密码的时候需要受害者首先点击一下这个重置密码链接,否则提交POST包会出现“未激活”的提示。这里,Yasser提出一种方式:可以写一个脚本对这个POST请求进行3s的重复提交,一直到受害者点击了这个链接。至于怎么让受害者点击这个链接。。。那就是另外一回事了。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 鸽吻折奉2022-06-03 04:35:35
  • l),那次的事件导致大约14500万来自世界各地的用户账户遭到了泄露。没有永远的安全,这次同样是eBay,但是确是不同的漏洞——eBay高危漏洞再度将百万用户账户陷入危险之中。  四个
  • 温人未芩2022-06-02 20:02:00
  •   还记得eBay么?还记得那曾经的一“大波”漏洞的事情么?  四个月之前,eBay曾经遭遇过“黑色星期五”(http://www.freebuf.com/news/35683.html),那次的事件导致大约14500万来自世界各地的用户账户遭到了泄露。没有永远的安全,这次同样是eBay,但是确

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理