ช่องโหว่ reset password ยื่นภาษีออนไลน์
March 9th, 2022
ก็ตามปกติของต้นปีต้องมีการเสียภาษี ระบบของสรรพากรเค้าก็ทำมาใหม่มีการใช้ 2-factor ในการยืนยันตัวตน
ทีนี้ผมก็ไปเจอว่าเราสามารถที่จะ reset password ของใครก็ได้ที่เค้าได้ลงทะเบียนยื่นภาษีออนไลน์
โดยที่ต้องมีการยืนยันตัวตนโดยเบอร์โทรศัพท์ (โน๊ตว่าเค้าแก้ไปแล้วนะครับ จะทำตามนี้ไม่ได้ละ)
โดยเรารู้แค่เลข 13 หลัก วิธีการก็คือเปิด browser สองอันครับ อันแรกเป็นของเรา อันที่สองเป็นของ
คนที่เราต้องการ reset ให้ขอ reset รหัสผ่านทั้งของเราและของคนที่เราต้องการ reset
พอได้รหัสยืนยันของเราทางมือถือให้ใช้พวก temper data ดักข้อมูลคนที่เราต้องการ reset ในหน้า reset
จะเห็นว่ามันจะ redirect ไปที่ url
ไอ้ url นี่เราจะแก้ parameter สองอันสุดท้ายเป็นที่เราได้รับครับ คือรหัสอ้างอิงกับรหัสตัวเลขที่เราได้
มันก็จะ redirect ไปหน้า reset password ของอีกคนโดยใช้ otp ของเราครับ
Categories: Uncategorized
Recent Comments