Home > Uncategorized > ช่องโหว่ reset password ยื่นภาษีออนไลน์

ช่องโหว่ reset password ยื่นภาษีออนไลน์

March 9th, 2022

ก็ตามปกติของต้นปีต้องมีการเสียภาษี ระบบของสรรพากรเค้าก็ทำมาใหม่มีการใช้ 2-factor ในการยืนยันตัวตน

ทีนี้ผมก็ไปเจอว่าเราสามารถที่จะ reset password ของใครก็ได้ที่เค้าได้ลงทะเบียนยื่นภาษีออนไลน์

โดยที่ต้องมีการยืนยันตัวตนโดยเบอร์โทรศัพท์ (โน๊ตว่าเค้าแก้ไปแล้วนะครับ จะทำตามนี้ไม่ได้ละ)

โดยเรารู้แค่เลข 13 หลัก วิธีการก็คือเปิด browser สองอันครับ อันแรกเป็นของเรา อันที่สองเป็นของ

คนที่เราต้องการ reset ให้ขอ reset รหัสผ่านทั้งของเราและของคนที่เราต้องการ reset

พอได้รหัสยืนยันของเราทางมือถือให้ใช้พวก temper data ดักข้อมูลคนที่เราต้องการ reset ในหน้า reset

จะเห็นว่ามันจะ redirect ไปที่ url

https://efiling.rd.go.th/rd-web-edge-service/profile/rd-profile/account/verify-otp-forget-password/R7UG6J/123456

ไอ้ url นี่เราจะแก้ parameter สองอันสุดท้ายเป็นที่เราได้รับครับ คือรหัสอ้างอิงกับรหัสตัวเลขที่เราได้

มันก็จะ redirect ไปหน้า reset password ของอีกคนโดยใช้ otp ของเราครับ

Categories: Uncategorized Tags:
Comments are closed.