4623 shaares
397 liens privés
397 liens privés
the last step of the validation process is where you can modify the email address and replace it with any regular email address (Highlighted in yellow) since it lacks a proper input validation.
Normalement on est limité à 3 emails (postmaster, hostmaster, webmaster) dont le domaine est celui à valider.
Il s'agit ici d'un hack tout con puisqu'il suffit de forger la requête http avec l'email de notre choix. Sauf que cela permet à n'importe qui de créer un certificat tls pour un domaine qu'on ne possède pas.
Ne jamais faire confiance aux données que les utilisateurs peuvent rentrer dans votre application: https://www.owasp.org/index.php/Don't_trust_user_input
C'est le b.a.-ba de la sécurité.