- بواسطة x32x01 ||
شرح طريقة أكتشاف ثغرة Response Manipulation
شرح طريقة اكتشاف ثغرة Response Manipulation :
اكتشفت طريقة لتخطي عملية التحقق من تفعيل الحساب الجديد وتسجيل الدخول بنجاح من خلال التلاعب بالاستجابة
خطوات اكتشاف الثغرة :
1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد
2. الانتقال الى صفحة تسجيل الدخول Login Page
3. تسجيل الدخول الى الموقع المصاب باستخدام الايميل والباسوورد
4. ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول
5. نقوم باستقبال الطلب باستخدام اداة burpsuite والتعديل على ال Response
6. التعديل على الباراميتر userActive من False الى True
7. تسجيل الدخول بنجاح بدون عملية التحقق من تفعيل الحساب الجديد
خطوات اكتشاف الثغرة :
1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد :
2. تسجيل الدخول الى الموقع المصاب باستخدام الايميل والباسوورد
ملاحظة : ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول
3. نقوم باستقبال الطلب باستخدام اداة burpsuite والتعديل على ال Response
4. التعديل على الباراميتر userActive من False الى True
5. تسجيل الدخول بنجاح بدون عملية التحقق من تفعيل الحساب الجديد
المراجع :
Code:
Title : Bypass email verification and Login New Account Without Email Activate.
Target : target.com ... Private Program
Weakness : Response Manipulation
Status : Duplicate
Date Of Scan : 2021-11-22شرح طريقة اكتشاف ثغرة Response Manipulation :
اكتشفت طريقة لتخطي عملية التحقق من تفعيل الحساب الجديد وتسجيل الدخول بنجاح من خلال التلاعب بالاستجابة
خطوات اكتشاف الثغرة :
1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد
2. الانتقال الى صفحة تسجيل الدخول Login Page
3. تسجيل الدخول الى الموقع المصاب باستخدام الايميل والباسوورد
4. ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول
5. نقوم باستقبال الطلب باستخدام اداة burpsuite والتعديل على ال Response
6. التعديل على الباراميتر userActive من False الى True
Code:
{"userActive":false} TO {"userActive":true}7. تسجيل الدخول بنجاح بدون عملية التحقق من تفعيل الحساب الجديد
خطوات اكتشاف الثغرة :
1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد :
ملاحظة : ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول
Code:
https://hackerone.com/reports/1070510
https://infosecwriteups.com/otp-bypass-via-response-manipulation-d5af09039fdf
https://infosecwriteups.com/another-admin-panel-e0489dc76678
https://ashutoshmishra00x0.medium.com/account-takeover-via-response-manipulation-worth-1800-ffb242cc55c9
https://thevillagehacker.medium.com/account-take-over-by-response-manipulation-e1293ee51e9a
https://gowthams.gitbook.io/bughunter-handbook/response-manipulation
