密碼重置Token可預(yù)測(cè)性導(dǎo)致的賬號(hào)劫持漏洞是怎樣的

本篇文章為大家展示了密碼重置Token可預(yù)測(cè)性導(dǎo)致的賬號(hào)劫持漏洞是怎樣的，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

今天分享的Writeup是一個(gè)有趣的賬號(hào)劫持漏洞，漏洞原因在于目標(biāo)服務(wù)端重置用戶(hù)密碼時(shí)，其Token生成算法有問(wèn)題，存在可預(yù)測(cè)和可枚舉可能，導(dǎo)致網(wǎng)站注冊(cè)用戶(hù)面臨賬號(hào)被劫持風(fēng)險(xiǎn)。

這里我們把目標(biāo)服務(wù)端稱(chēng)為program.com，當(dāng)我在測(cè)試其忘記密碼功能時(shí)發(fā)現(xiàn)一個(gè)怪異的現(xiàn)象，每次我對(duì)我當(dāng)前賬號(hào)發(fā)起密碼重置請(qǐng)求后，在我收到的下述密碼重置Token信息中，其Token串中的前3個(gè)字符都是一樣的，所以這引起了我的注意。

幾分鐘后，我驚奇地發(fā)現(xiàn)Token信息中的前3個(gè)字符，是我在目標(biāo)網(wǎng)站時(shí)綁定注冊(cè)郵箱前綴中，從第4個(gè)字符住前反向排序到第2個(gè)字符的3個(gè)字符。也就是說(shuō)，假設(shè)我在該網(wǎng)站的注冊(cè)郵箱為 johndoe@domain.com ，那么我發(fā)起密碼重置請(qǐng)求后，在我郵箱中收到的重置Token信息其前3個(gè)字符就是“nho”（無(wú)引號(hào)），如下：

有了這個(gè)發(fā)現(xiàn)，我想那么Token信息中剩余字符應(yīng)該也存在某種意義吧，于是，經(jīng)我多次的測(cè)試分析，發(fā)現(xiàn)其余字符就是當(dāng)前的時(shí)間戳信息（Timestamp）。但是，最后，還余下2個(gè)字符我無(wú)法找到規(guī)律，這兩個(gè)字符位于前3個(gè)字符和后部份時(shí)間戳字符之間，它們可能是隨機(jī)生成的。

我想，如果是隨機(jī)生成的話(huà)，那就來(lái)暴力枚舉試試看，非常好的是，目標(biāo)服務(wù)端竟然毫無(wú)任何速率限制措施。這里，我用兩個(gè)注冊(cè)郵箱來(lái)進(jìn)行測(cè)試，一個(gè)當(dāng)成受害者郵箱的johndoe@domain.com，另一個(gè)當(dāng)成攻擊者郵箱的johndoe@domain2.com，可以看到它們前綴都是相同的。在測(cè)試中，我同時(shí)向目標(biāo)服務(wù)端對(duì)該兩個(gè)郵箱發(fā)起了賬戶(hù)密碼重置請(qǐng)求，由于它們的郵箱前綴都是相同的，所以，在服務(wù)端發(fā)送回來(lái)的密碼重置Token中，除了那2個(gè)隨機(jī)字符之外，其余的Token字符應(yīng)該是一樣的。

這樣，我可以登錄作為攻擊者的郵箱johndoe@domain2.com，從中獲取包含Token信息的密碼重置鏈接，然后，針對(duì)該密碼重置鏈接請(qǐng)求，在Burp Instruder中構(gòu)造字典文件進(jìn)行暴力枚舉。果然，不一會(huì)兒，在不多的請(qǐng)求發(fā)出之后，我成功地枚舉到了一個(gè)302跳轉(zhuǎn)的有效密碼重置請(qǐng)求。

該漏洞上報(bào)后，廠(chǎng)商把該漏洞定級(jí)為P1嚴(yán)重級(jí)，及時(shí)進(jìn)行了修復(fù)。

上述內(nèi)容就是密碼重置Token可預(yù)測(cè)性導(dǎo)致的賬號(hào)劫持漏洞是怎樣的，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。