hacktricks/pentesting-web/account-takeover.md

खाता हासिल करना

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करना चाहिए? सदस्यता योजनाएं की जांच करें!
• The PEASS Family की खोज करें, हमारा विशेष NFT संग्रह देखें
• आधिकारिक PEASS & HackTricks swag प्राप्त करें
• 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या मुझे Twitter 🐦@carlospolopm** का पालन करें**.
• हैकिंग ट्रिक्स साझा करें और PR जमा करें hacktricks repo और hacktricks-cloud repo को।

अधिकृतता समस्या

एक खाते के ईमेल को बदलने का प्रयास करें और पुष्टि कैसे काम करती है यह जांचें। यदि कमजोर है, तो पीड़ित ईमेल को बदलने का प्रयास करें और इसे पुष्टि करें।

यूनिकोड सामान्यीकरण समस्या

1. पीड़ित खाता victim@gmail.com
2. यूनिकोड का उपयोग करके खाता बनाएं
   उदाहरण: vićtim@gmail.com

{% content-ref url="unicode-injection/unicode-normalization.md" %} unicode-normalization.md {% endcontent-ref %}

रीसेट टोकन का पुनः उपयोग

यदि लक्ष्य आपको रीसेट लिंक का पुनः उपयोग करने की अनुमति देता है, तो gau, wayback या scan.io के माध्यम से अधिक रीसेट लिंक की खोज करें

पहले से ही खाता हासिल करने के लिए

1. प्लेटफ़ॉर्म में पीड़ित के ईमेल का उपयोग करके साइन अप करें और पासवर्ड सेट करें (यदि संभव हो तो पुष्टि करें, लेकिन पीड़ित ईमेल तक पहुंच की कमी के कारण यह असंभव हो सकता है)
2. पीड़ित ओथ का उपयोग करके साइन अप करने और खाता की पुष्टि करने की उम्मीद है
3. आशा है, नियमित साइन अप पुष्टि हो जाएगी और आप पीड़ित खाते में प्रवेश कर सकेंगे

CORS मिस्कॉन्फ़िगरेशन से खाता हासिल करना

यदि पृष्ठ में CORS मिस्कॉन्फ़िगरेशन होती है, तो आप उपयोगकर्ता से संबंधित संवेदनशील जानकारी चुरा सकते हैं और उसके खाते को हासिल करने के लिए उसे परिवर्तित कर सकते हैं:

{% content-ref url="cors-bypass.md" %} cors-bypass.md {% endcontent-ref %}

Csrf से खाता हासिल करना

यदि पृष्ठ CSRF के प्रति संक्रमणशील है, तो आप उपयोगकर्ता को अपना पासवर्ड, ईमेल या प्रमाणीकरण संशोधित करने की संभावना हो सकती है, ताकि आप उसे फिर से प्रवेश कर सकें:

{% content-ref url="csrf-cross-site-request-forgery.md" %} csrf-cross-site-request-forgery.md {% endcontent-ref %}

XSS से खाता हासिल करना

यदि आप एक XSS खोजते हैं तो आप कुकीज़, स्थानीय संग्रहण या वेब पृष्ठ से जानकारी चुरा सकते हैं जो आपको खाता हासिल करने की अनुमति दे सकती है:

{% content-ref url="xss-cross-site-scripting/" %} xss-cross-site-scripting {% endcontent-ref %}