【网络安全 | 漏洞挖掘】绕过电子邮件确认实现预账户接管

未经许可，不得转载。

正文

我测试的应用程序有多个子域名：
1、account.example.com：处理用户账户管理。
2、project.example.com：管理用户拥有或被邀请的项目。
3、org.example.com：一个新的子域，用于管理多个项目的组织。
4、collaborator.example.com：一个最近更新的子域，允许外部协作者向项目发送加入请求。

我发现该应用程序允许在没有邮件确认的情况下注册，但在确认邮件之前会施加许多限制。 五年前的黑客活动报告中详细描述了邮件确认绕过的漏洞（并且有一些丰厚的奖励）。我受到鼓舞，决定自己找一个，所以我最初的尝试很经典：

• 通过重置密码链接绕过确认？没有成功。
• 猜测确认 URL 中的令牌？也没成功。

经过几个小时的测试，我一度陷入死胡同。但我没有放弃，继续做笔记，转而探索其他域名。

在探索 project.example.com 域时，我发现了一个有趣的地方：
当你邀请用户加入项目时，受邀者接受邀请后会通过邮件确认其邮箱。听起来很合乎逻辑，对吧？然而&