minanagehsalalma/olx-account-takeover

# 当“稍后再试”仍意味着“你猜对了”

一篇关于OLX验证码漏洞的精炼安全分析报告，该漏洞在账户被锁定时仍会泄露正确的验证码，最终导致了账户接管。

阅读文章

## 本仓库简介 本仓库包含一篇关于OLX验证码流程的GitHub Pages分析报告，该流程即使在应用程序进入锁定状态后，仍会持续泄露所提交的验证码是否正确。 该行为在包括密码重置在内的敏感账户流程中被复用，将影响提升至完整的账户接管。此外，该平台在密码更改后缺乏会话撤销机制，这意味着即使受害者更换了密码，攻击者的访问权限也可能依然存在。 ## 仓库内容 - `index.html` — 已发布的文章 - `pages.css` — 文章样式 - `assets/` — 仅包含文章使用的图片 ## 在线站点 - https://minanagehsalalma.github.io/olx-account-takeover/

标签：GitHub Pages, meg, OLX安全, TLS抓取, Web安全, 会话管理, 信息安全, 信息泄露, 凭证泄露, 后端开发, 多模态安全, 安全写-up, 安全漏洞, 密码重置漏洞, 漏洞分析, 漏洞报告, 网络安全, 蓝队分析, 认证流程, 认证绕过, 账户安全, 账户接管, 路径探测, 软件安全, 锁定状态泄露, 隐私保护, 验证码缺陷