Account Takeover Bug Bounty Tutorial – Step by Step 2026
三句話摘要
資安研究員 Zack0x01 分享六種實戰帳戶接管(Account Takeover)漏洞的挖掘技巧,每種均附帶真實 Bug Bounty 報告與 PoC。 --- 帳戶接管不是單一技術,而是 OAuth 缺陷、QR token 未綁定、Open Redirect、業務邏輯疏漏、Rate Limit 繞過、XSS 鏈式利用等多條路徑的集合,掌握每條路徑的「為什麼」比死記步驟更能在實戰中舉一反三。 1. OAuth State 參數缺失可造成帳號綁架
重點整理
重點- 1
1. OAuth State 參數缺失可造成帳號綁架
- 2
應用程式在第三方登入(OAuth)流程中若未正確驗證 `state` 參數(等同 CSRF token),攻擊者可擷取授權回調 URL 並傳送給受害者,使受害者點擊後將攻擊者的社群帳號綁定到受害者帳戶上,進而以攻擊者身份登入。
- 3
2. QR Code 登入令牌缺乏綁定驗證
- 4
若 QR Code 登入產生的 token 未綁定特定裝置或 IP,攻擊者可將自己手機掃碼產生的登入連結傳送給受害者;受害者點擊後,其帳號 session 會被同步至攻擊者的瀏覽器,即使跨 IP 亦有效。
- 5
3. Open Redirect 可竊取 OAuth Token
- 6
在 Google 登入流程中若發現含有 `domainInitiator` 等可控 Domain 參數,攻擊者將其替換為自己的伺服器,受害者完成 OAuth 認證後,帶有 token 的回調請求會被重導向至攻擊者伺服器,攻擊者即可使用該 token 接管帳號。
- 7
4. OTP 驗證邏輯可透過 URL 參數繞過 Rate Limit
- 8
部分應用程式在 HTTP body 中有 Rate Limit,但同樣的 OTP 驗證邏輯也存在於 URL 參數路徑,且該路徑未實施速率限制,攻擊者可透過不斷修改 URL 中的 OTP 值進行暴力破解。
- 9
--
實用技巧與重點
乾貨- 工具與平台
- Burp Suite(含 Burp Collaborator,用於接收 out-of-band 請求)
- Caido(Burp 的替代攔截工具)
- PipeDream(免費 API 測試工具,可作為接收 token 的外部伺服器)
- 自架 Apache / Nginx 伺服器作為 Collaborator
- 六種技術清單
- OAuth Misconfiguration(缺少 `state` 參數)→ 帳號綁定劫持
- QR Code Login Token 無裝置/IP 綁定 → Session 劫持
- Open Redirect + OAuth `domainInitiator` 參數可控 → Token 竊取
- Business Logic:無帳號訂單完成後無 Email 驗證 → 攻擊者用相同 Email 註冊即可查看訂單資料
- OTP Rate Limit Bypass:Body 有限制,URL 參數無限制 → 暴力破解 OTP
- Stored XSS in 資料夾/搜尋自動完成功能 → 竊取 Session Cookie
- 關鍵 XSS Payload 邏輯
- 在資料夾名稱中注入 Stored XSS
- 搜尋自動完成觸發 XSS
- `document.location.assign()` 將 Base64 編碼的 Cookie 傳送至 `hacker.com`
- 攻擊者解碼後取得有效 Session
- OTP Bypass 步驟
- 對自己帳號發送 OTP → 攔截含 CSRF token 的請求
- 替換 Email 為受害者 Email
- 改用 URL 參數傳遞 OTP 值
- 繞過 Rate Limit 進行暴力破解
- Business Logic 步驟
- 以受害者 Email 完成結帳(無須登入)
- 應用無 Email 驗證機制
- 攻擊者以相同 Email 直接註冊帳號
- 呼叫 API 即可查看受害者姓名、訂單、收入等資訊
- 評分等級
- Zero-click ATO → Critical
- One-click ATO(需使用者互動)→ High,影響力較低
- 作者資源
- Medium 文章帳號:Zack0x01(詳細 PoC)
- 課程平台:luru.shop(含 AI 問答、1-on-1、直播實戰)
- 社群:Twitter / Instagram @zack0x01
- --
結論
結論“帳戶接管不是單一技術,而是 OAuth 缺陷、QR token 未綁定、Open Redirect、業務邏輯疏漏、Rate Limit 繞過、XSS 鏈式利用等多條路徑的集合,掌握每條路徑的「為什麼」比死記步驟更能在實戰中舉一反三。”
完整解析
詳細帳戶接管(Account Takeover,ATO)是 Bug Bounty 生態中評分最高的漏洞類別之一,在金融或加密貨幣類應用中往往直接被列為 Critical。本片作者 Zack0x01 從個人實戰經驗出發,系統性地介紹六種他親自找到並回報的 ATO 技術,每種技術均附有真實 Bug Bounty 報告截圖與操作演示。
第一種是 OAuth 錯誤設定。應用程式支援以 Facebook 或 Google 帳號綁定登入,但 OAuth 流程中缺少 `state` 參數(即 CSRF 防護機制)。攻擊者在自己帳號完成 OAuth 授權後,攔截那條含有授權碼的回調 URL,並將其傳送給受害者。受害者點擊後,OAuth 流程會將攻擊者的社群帳號綁定至受害者的帳號,之後攻擊者只要選擇「以 Facebook 登入」就能直接進入受害者帳號,無需密碼。第二種是 QR Code 登入劫持,作者在某知名社交媒體平台發現此漏洞。手機 App 掃描 QR Code 時會產生一組登入連結,若應用程式未對這組 token 進行裝置或 IP 綁定驗證,攻擊者可將自己 App 生成的連結傳給受害者,受害者點擊後其帳號 Session 即被同步至攻擊者裝置;作者測試過跨 IP、跨網路環境,仍然成功。
第三種是 Open Redirect 搭配 OAuth 使用。作者在 Google 登入流程的 URL 中發現 `domainInitiator` 欄位可被替換成任意伺服器地址;當受害者完成 Google 認證後,含有 OAuth token 的回調請求會被重導向至攻擊者的接收伺服器(可用 PipeDream 或 Burp Collaborator 架設),攻擊者即可拿到 token 並冒充受害者登入。第四種 Business Logic 漏洞則相對隱蔽:應用程式允許未註冊用戶以 Email 直接完成結帳,但事後未發送 Email 驗證信。攻擊者取得受害者的 Email 後,直接以該 Email 在應用程式上註冊新帳號,因為系統未確認信箱所有權,攻擊者就能透過 API 查看受害者過往的訂單資訊、姓名與個人資料。
第五種是 OTP Rate Limit Bypass。部分應用程式採用純 OTP 登入(無密碼),且在 HTTP request body 層面有速率限制,但作者發現相同的 OTP 驗證邏輯也存在於 URL 參數路徑,且該路徑完全未設速率限制。他先對自己帳號發送 OTP 並攔截請求,接著將 Email 替換為受害者信箱,再透過不斷修改 URL 參數中的 OTP 數值進行暴力破解,最終成功登入受害者帳號。第六種是 Stored XSS 搭配 Session 竊取:作者在應用程式的資料夾名稱欄位注入惡意 XSS Payload,當其他使用者在搜尋欄輸入關鍵字時,自動完成功能觸發 XSS,Payload 使用 `document.location.assign()` 將受害者的 Cookie 以 Base64 編碼後傳送至攻擊者伺服器,攻擊者解碼後即獲得有效 Session 並完全控制受害者帳號。
作者強調,這六種技術的核心精神不在於「複製步驟」,而在於理解每種漏洞的底層邏輯,並嘗試在不同目標的類似功能上舉一反三。Zero-click(無需受害者互動)ATO 的影響力遠高於需要使用者點擊連結的版本,在評分上也更具優勢。
---
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
