未经许可,不得转载。
文章目录
- 正文
正文
我受邀参加某公司的一个私密漏洞赏金项目。在测试时,我发现该平台采用 PIN 码登录系统,而不是传统密码。每次登录尝试时,系统会发送一个 6 位数的 PIN 码。
系统设置了频率限制,防止暴力破解 PIN 码。
同时我发现,每次更改账号邮箱后,系统会自动将我登出。为了重新登录,我需要使用新邮箱接收到的 PIN 码。
我进一步测试时,发现该平台还有一个子域,使用相同的账号凭据也可以登录。我尝试在主域和这个子域上同时保持登录状态。然而,每当我在任一会话中尝试更改邮箱后,系统会强制登出两个域的会话。
在探索平台时,我发现该平台还提供一种企业服务,能够提供额外功能。接着,我创建了一个新的企业账号,并将我的个人账号邀请为这个企业账号的管理员。
现在,
