[0:00]आज हम देखने जा रहे हैं एक लिंक करते टाइम जो हमें एक मिसकॉन्फिगरेशन मिली जो कि देखने में इजी है पर ये इजी है नहीं इसको रिपोर्ट करने तक मुझे पूरा दिन लग गया क्योंकि इसमें एक सिनेरियो है जो कि फेल हो जा रहा है और दूसरा सिनेरियो काम कर रहा है तो बार-बार मुझे ट्राई करना पड़ा था। आइए देखते हैं वो क्या है।
[0:23]सबसे पहले हम देखने जा रहे हैं वो सिनेरियो जो कि फेल हो गया था और अटैक काम नहीं किया था।
[0:29]यहां पे हमारे पास सबसे पहले अकाउंट क्रिएट करने के कुछ ऑप्शन हैं जैसे कि पहला है यूजरनेम और पासवर्ड से आप रजिस्टर कर सकते हैं।
[0:37]दूसरा है ईमेल से आप रजिस्टर कर सकते हैं और ये बीच वाला बटन है ये लॉगिन के लिए। जो यूजरनेम और पासवर्ड से आपने अकाउंट क्रिएट किया है उसको आप यहां पर लॉगिन कर सकते हैं।
[0:49]अभी ये हमारे काम का नहीं है कंटिन्यू एज अ गेस्ट और लॉगिन विद गूगल।
[0:54]यहां पे अभी हमारा एक सिनेरियो ये है कि हम मान के चल रहे हैं कि विक्टिम ने पहले से ही अकाउंट क्रिएट करके रखा है।
[1:03]और वो काफी बार अपने अकाउंट में लॉगिन कर चुका है तो ये रहा विक्टिम का अकाउंट और ये देख सकते हो इसकी ये बग वाली ईमेल आईडी है।
[1:12]अब यहां पर जो यूजरनेम और पासवर्ड का ऑप्शन है इसी को यूज़ करते हुए अटैकर ने एक रैंडम अकाउंट क्रिएट कर लिया। देख सकते हो।
[1:21]और जब अटैकर अपने सेटिंग्स में गया तो दो ऑप्शन है एक लिंक चेंज ईमेल और एक है लिंक सोशल अकाउंट।
[1:30]अब वो जब लिंक स्लैश चेंज ईमेल ऑप्शन देखता है। तो क्योंकि उसने यूजरनेम और पासवर्ड से अकाउंट क्रिएट किया होता है तो यहां पर कोई भी ईमेल नहीं होती है।
[1:41]अब उसने क्या किया अटैकर ने लिंक सोशल अकाउंट पे क्लिक किया। अब यहां पे हमारे पास दो ऑप्शन है हमने क्या किया कंटिन्यू विद Google पे किया क्लिक।
[1:50]और जो भी अटैकर की डिवाइस में ईमेल आईडी लॉगिन होंगी अकाउंट होंगे वो यहां पे लिस्ट हो जाएंगे।
[1:58]अब यहां पर अटैकर ने इस वाले अकाउंट को राज वाले अकाउंट को सिलेक्ट कर लिया और वर्कशूट में रिक्वेस्ट को इंटरसेप्ट किया।
[2:07]अभी यहां पर देखो ये जो एंड एंड पॉइंट है ना यहां पर अभी सर्वर को ये पता ही नहीं लग पा रहा है कि जो ये वाली ईमेल है वो सही में इस डिवाइस में लॉगिन है या फिर नहीं क्योंकि यहां पर कोई टोकन नहीं है।
[2:18]अब क्या मैं इसको रिप्लेस कर दूं विक्टिम की ईमेल आईडी से। और ऐसा ही मैंने किया यहां पर आ गया सक्सेस।
[2:27]अब यहां पर देख सकते हो हमने विक्टिम की ईमेल आईडी को एक रैंडम अकाउंट में कर दिया है लॉगिन।
[2:35]मतलब लिंक कर दिया है। लेकिन अभी हमारा अकाउंट फेल हो चुका है क्योंकि अब हम चलते हैं विक्टिम के पॉइंट ऑफ व्यू की तरफ।
[2:43]विक्टिम क्या कर रहा है अपने अकाउंट में लॉगिन होना चाह रहा है क्योंकि उसने ईमेल से ही अकाउंट क्रिएट किया है।
[2:47]और जैसे ही वो कंटिन्यू करता है उसके पास एक ओटीपी आता है उसी के अकाउंट के लिए उसी के यूजरनेम के लिए और वो अपने ही अकाउंट में हो जाता है लॉगिन।
[2:56]तो यहां पर कोई भी चीज नई नहीं हुई नई नहीं हुई भले ही हमने विक्टिम की ईमेल आईडी को एक रैंडम अकाउंट से अटैच कर दिया है।
[3:06]लेकिन फिर भी विक्टिम पर कोई भी असर नहीं पड़ा। तो अभी हमारा अटैक हो चुका है फेल।
[3:12]अब हम चलते हैं दूसरे सिनेरियो पे जहां पर हमारा अटैक सक्सेसफुल हुआ और आपको यह पता लगेगा क्यों बार-बार ट्राई करना पड़ता है।
[3:22]अभी यहां पर देखो इसको सबको भूल जाओ। अब ये विक्टिम की विक्टिम के पॉइंट ऑफ व्यू की तरफ से है मतलब विक्टिम क्या कर रहा है विक्टिम अब नया अकाउंट क्रिएट कर रहा है अपनी ईमेल आईडी से सही है।
[3:33]तो ये पहली बार अकाउंट क्रिएट कर रहा है इसलिए इसके पास एक मेल जाएगी और यहां पे लिखा है हाय न्यू यूजर इसका मतलब अभी इसे यूजरनेम अलॉट नहीं हुआ है जब ये लॉगिन हो जाएगा तब इसको अपना यूजरनेम दिखेगा।
[3:47]तो ओटीपी जैसे ही विक्टिम ने डाला और यहां पर देख सकते हो इसका ये है यूजरनेम।
[3:54]अब देखो अब मैंने क्या कहा यहां पर विक्टिम पहली बार लॉगिन हुआ है मतलब पहली बार अकाउंट क्रिएट किया है उसके बाद वो लॉगिन नहीं हुआ।
[4:01]अब तुरंत ही क्या होता है तुरंत ही अटैकर आ जाता है अपने एक और रैंडम अकाउंट से लॉगिन कर लेता है ठीक है।
[4:07]और वही सेम तरीके से विक्टिम की ईमेल आईडी डाल के उसको कर लेता है अटैच।
[4:14]अब यहां पर देखो अब जब विक्टिम दोबारा लॉगिन होने की कोशिश करेगा।
[4:19]अब आप देखना जैसे ही विक्टिम ने कंटिन्यू दबाया। अब जो ईमेल जा रही है ना वहां पर यूजरनेम क्या आ रहा है अटैकर के द्वारा क्रिएट करेगा अकाउंट का यूजरनेम आ रहा है।
[4:30]इसका मतलब अब जैसे ही विक्टिम ये वाला ओटीपी डालेगा वो अटैकर के द्वारा किए गए अकाउंट में हो जाएगा लॉगिन और इस तरीके से विक्टिम ने अपने अकाउंट का एक्सेस खो दिया है पूरा उसके जितने भी बैलेंस वगैरह है वो सब वो खो बैठा है।
[4:47]और विक्टिम के द्वारा एक रैंडम किए गए अकाउंट में अब वो हर बार लॉगिन हो जाएगा। तो यही था एक तरीका इसलिए आपको कभी-कभी बार-बार हिट एंड ट्राई करना पड़ता है। उम्मीद है आपको पसंद आया होगा।
