https://blog.qife122.com/tags/scim%E9%85%8D%E7%BD%AE/ Recent content in SCIM配置 on 办公AI智能小助手 Hugo zh-cn qife Sat, 20 Sep 2025 05:08:30 +0800 https://blog.qife122.com/p/%E9%80%9A%E8%BF%87scim%E9%85%8D%E7%BD%AE%E5%AE%9E%E7%8E%B0hackerone%E8%B4%A6%E6%88%B7%E6%8E%A5%E7%AE%A1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sat, 20 Sep 2025 05:08:30 +0800 https://blog.qife122.com/p/%E9%80%9A%E8%BF%87scim%E9%85%8D%E7%BD%AE%E5%AE%9E%E7%8E%B0hackerone%E8%B4%A6%E6%88%B7%E6%8E%A5%E7%AE%A1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="hackerone报告3178999---通过scim配置接管现有hackerone账户">HackerOne报告#3178999 - 通过SCIM配置接管现有HackerOne账户</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>安全研究员boy_child_发现HackerOne平台的SCIM（跨域身份管理系统）配置存在严重漏洞，允许攻击者接管现有用户账户。该漏洞源于HackerOne在SCIM集成过程中仅验证用户名域名的匹配性，而忽略邮箱地址的域名验证。</p> https://blog.qife122.com/p/%E9%80%9A%E8%BF%87scim%E9%85%8D%E7%BD%AE%E5%AE%9E%E7%8E%B0hackerone%E8%B4%A6%E6%88%B7%E5%8A%AB%E6%8C%81%E7%9A%84%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Thu, 11 Sep 2025 13:53:34 +0800 https://blog.qife122.com/p/%E9%80%9A%E8%BF%87scim%E9%85%8D%E7%BD%AE%E5%AE%9E%E7%8E%B0hackerone%E8%B4%A6%E6%88%B7%E5%8A%AB%E6%8C%81%E7%9A%84%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="通过scim配置实现hackerone账户劫持">通过SCIM配置实现HackerOne账户劫持</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>经过多次尝试和理解，我能够通过SCIM（跨域身份管理系统）配置接管现有用户账户。要利用此漏洞，需要满足以下条件：</p> <ul> <li>已验证的域名</li> <li>正常工作的SSO（单点登录）配置</li> </ul> <h2 id="初始测试过程">初始测试过程</h2> <p>最初测试时采用以下步骤：</p>