Hello there, ('ω')ノ
確認をバイパスして支払い方法の追加を。
脆弱性:
電子メール検証バイパス
論理的な欠陥
記事:
https://0xpopoy.medium.com/bypass-confirmation-to-add-payment-method-df2772a36561
概要:
このウェブサイトでは、ストアに接続したい支払い方法を正常に添付するために。
電子メールからの確認が必要で。
この問題は、支払い方法またはPayPalのメールアドレスを追加した後に。
応答が表示されたときに発生して。
再現するステップ:
支払い機能の追加に移動して、PayPalアドレスを入力し。
リクエストをインターセプトしてレスポンスを確認して。
プロセス全体を分析した後に応答に認証、または検証トークンが。
表示されていることに気付いて。
下記は、APIの応答で。
メールでアカウントを確認すると、eventIdヘッダが付いた特定のエンドポイントに。
リクエストが送信されていることに気付いて。
応答でeventIdを試してみると、被害者の電子メールを開かずに。
電子メールを確認できて。
アプリケーションに関する情報を知るために、常に応答を分析して。
多分それは、verification_tokenをリークするので。
Best regards, (^^ゞ
