1. المدير العام

    المدير العام أدارة موقع أكتب كود

    كود:
     Title        : Bypass email verification and Login New Account Without Email Activate.
     Target       : target.com ... Private Program
     Weakness     : Response Manipulation
     Status       : Duplicate
     Date Of Scan : 2021-11-22 
    شرح طريقة اكتشاف ثغرة Response Manipulation :
    اكتشفت طريقة لتخطي عملية التحقق من تفعيل الحساب الجديد وتسجيل الدخول بنجاح من خلال التلاعب بالاستجابة

    خطوات اكتشاف الثغرة :
    1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد
    2. الانتقال الى صفحة تسجيل الدخول Login Page
    3. تسجيل الدخول الى الموقع المصاب باستخدام الايميل والباسوورد
    4. ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول
    5. نقوم باستقبال الطلب باستخدام اداة burpsuite والتعديل على ال Response
    6. التعديل على الباراميتر userActive من False الى True
    كود:
     {"userActive":false} TO {"userActive":true} 
    7. تسجيل الدخول بنجاح بدون عملية التحقق من تفعيل الحساب الجديد

    خطوات اكتشاف الثغرة :
    1. انشاء حساب جديد في الموقع المصاب باستخدام الايميل والباسوورد :

    [​IMG]

    2. تسجيل الدخول الى الموقع المصاب باستخدام الايميل والباسوورد
    ملاحظة : ستظهر رسالة خطأ بان الحساب غير مفعل ويجب تفعيل الحساب لتستطيع تسجيل الدخول

    [​IMG]

    3. نقوم باستقبال الطلب باستخدام اداة burpsuite والتعديل على ال Response

    [​IMG]

    4. التعديل على الباراميتر userActive من False الى True

    [​IMG]

    [​IMG]

    5. تسجيل الدخول بنجاح بدون عملية التحقق من تفعيل الحساب الجديد

    [​IMG]

    المراجع :
    كود:
     https://hackerone.com/reports/1070510 
     https://infosecwriteups.com/otp-bypass-via-response-manipulation-d5af09039fdf
     https://infosecwriteups.com/another-admin-panel-e0489dc76678
     https://ashutoshmishra00x0.medium.com/account-takeover-via-response-manipulation-worth-1800-ffb242cc55c9
     https://thevillagehacker.medium.com/account-take-over-by-response-manipulation-e1293ee51e9a
     https://gowthams.gitbook.io/bughunter-handbook/response-manipulation
     
جاري تحميل الصفحة...