设为首页
收藏本站
切换到宽版
登录
立即注册
找回密码
搜索
搜索
本版
帖子
用户
快捷导航
论坛
BBS
VIP用户组
官网群
无名商城论坛
»
论坛
›
资源分享区
›
学习资源专区
›
漏洞挖掘 | 通过Referer盗取用户授权
返回列表
发帖
查看:
274
|
回复:
0
[其他技术]
漏洞挖掘 | 通过Referer盗取用户授权
[复制链接]
无名
无名
当前离线
积分
32464
1万
主题
1万
帖子
3万
积分
管理员
积分
32464
发消息
发表于 2022-5-8 18:28:31
|
显示全部楼层
|
阅读模式
最近参加了一个赏金计划,然后在单点登录中发现了一个涉及比较多站点的漏洞,测试过程比较有意思,所以分享一下。
基础解答:
一般我们在挖洞的时候,很关键的就是要观察数据流,你可以选择用burp,当然也可以使用浏览器的F12(俗称浏览器F12大法)来观察数据流向。
以下将用户中心登录站点称为passport.AAA.com,用户在登陆*.AAA.com的时候可以选择先登录passport.AAA.com,然后它会返回授权,接着用户就能登录*.AAA.com了。
登录
,
可以
,
用户
,
单点
,
漏洞
相关帖子
•
【FUT】初识? 直接怼? 。跳过初识,直接实战xml布局。
•
【FUT】 S变量
•
【LUR】各种网页挂马方式原理
•
【DMT】<web安全系列>代码审计,SQL漏洞发现
•
【FUT】VPS服务器自建SpeedTest客户端网络测速页面
•
【LUR】利用ep安全码一键登录后台[实用]
•
discovermgs邮件群发协议【专业发送国外邮箱】或者163邮箱除了QQ邮箱以外都可以发送
•
什么是用户生成内容?利用 UGC 进行营销的权威指南
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表