비밀번호 재설정 기능과 관련된 몇가지 취약점을 놓치지 않기위해 기록
- 비밀번호 변경 제한 없음(?)
- 비밀번호 변경 링크의 만료가 없음
- 비밀번호 변경 시 이메일 파라미터 변경
- 비밀번호 변경 페이지를 통한 사용자 열거
- 비밀번호 변경 포이즈닝
- Response 조작
- Response 내 비밀번호 변경 토큰 노출
- 비밀번호 변경 시 token/otp 무차별대입
- 공격자 비밀번호 변경 토큰을 이용한 공격 대상 계정 재설정
- 비밀번호 변경 로직 공격
- 비밀번호 변경 기능에 Self-XSS
- Referer 헤더 변경
블로그 이사 (https://juicemon-code.github.io/)