mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/pentesting-web/account-takeover.md'] to zh
This commit is contained in:
Translator
parent
b6b4ef494e
commit
e7f11bd73c
@ -12,12 +12,12 @@
|
||||
2. 应使用Unicode创建一个账户\
|
||||
例如:`vićtim@gmail.com`
|
||||
|
||||
如[**此演讲**](https://www.youtube.com/watch?v=CiIyaZ3x49c)所述,之前的攻击也可以通过滥用第三方身份提供者来完成:
|
||||
如[**此演讲**](https://www.youtube.com/watch?v=CiIyaZ3x49c)所述,之前的攻击也可以通过滥用第三方身份提供者来实现:
|
||||
|
||||
- 在第三方身份提供者中创建一个与受害者相似的电子邮件账户,使用某些Unicode字符(`vićtim@company.com`)。
|
||||
- 第三方提供者不应验证电子邮件
|
||||
- 如果身份提供者验证了电子邮件,您可以尝试攻击域名部分,例如:`victim@ćompany.com`,并注册该域名,希望身份提供者生成域名的ascii版本,而受害者平台规范化域名。
|
||||
- 通过此身份提供者登录受害者平台,受害者平台应规范化Unicode字符并允许您访问受害者账户。
|
||||
- 如果身份提供者验证电子邮件,您可以尝试攻击域名部分,例如:`victim@ćompany.com`,并注册该域名,希望身份提供者生成域名的ascii版本,而受害者平台规范化域名。
|
||||
- 通过此身份提供者在受害者平台登录,受害者平台应规范化Unicode字符并允许您访问受害者账户。
|
||||
|
||||
有关更多详细信息,请参阅关于Unicode规范化的文档:
|
||||
|
||||
@ -31,7 +31,7 @@ unicode-injection/unicode-normalization.md
|
||||
|
||||
## **预账户接管**
|
||||
|
||||
1. 应使用受害者的电子邮件在平台上注册,并设置密码(应尝试确认,但由于无法访问受害者的电子邮件,这可能是不可能的)。
|
||||
1. 应使用受害者的电子邮件在平台上注册,并设置密码(应尝试确认,尽管缺乏对受害者电子邮件的访问可能使其不可能)。
|
||||
2. 应等待受害者使用OAuth注册并确认账户。
|
||||
3. 希望常规注册将被确认,从而允许访问受害者的账户。
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user