溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析

發(fā)布時(shí)間:2021-12-24 11:13:49 來源:億速云 閱讀:150 作者:柒染 欄目:網(wǎng)絡(luò)管理

DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

印度政府稱已修復(fù)了該政府的安全文檔錢包服務(wù)Digilocker中的一個(gè)嚴(yán)重漏洞,遠(yuǎn)程攻擊者可利用該漏洞繞過一次性動(dòng)態(tài)密碼(OTP)并以其他用戶身份登錄。

該漏洞是由兩個(gè)獨(dú)立漏洞賞金研究人員Mohesh Mohan和Ashish Gahlot分別發(fā)現(xiàn)的。攻擊者輕易就可利用該漏洞未授權(quán)訪問目標(biāo)用戶在該政府運(yùn)營的平臺(tái)上上傳的敏感文檔。

Mohesh Mohan在一份披露報(bào)告中說到,“該OTP功能缺少授權(quán),攻擊者可以通過提交任意合法用戶詳情執(zhí)行OTP驗(yàn)證,繼而篡改流,以完全不同的用戶身份登錄。”

擁有3800萬名注冊(cè)用戶,Digilocker是個(gè)基于云的存儲(chǔ)庫,作為一個(gè)數(shù)字平臺(tái)幫助在線處理文檔,和以更快的速度交付多種政府為市民提供的服務(wù)。Digilocker關(guān)聯(lián)用戶的手機(jī)號(hào)和Aadhar ID(政府發(fā)給每個(gè)印度居民的唯一身份號(hào)碼)。

DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析

根據(jù)Mohan發(fā)布的信息,攻擊者只需要知道受害者的Aadhar ID或關(guān)聯(lián)的手機(jī)號(hào)或用戶名,就可未授權(quán)訪問目標(biāo)Digilocker賬戶,促使該服務(wù)發(fā)送一個(gè)OTP密碼,隨后利用該漏洞繞過登錄過程。

需要指出的是,Digilocker的移動(dòng)app版本采用一個(gè)四位數(shù)的PIN提供多一層安全保護(hù)。但是,研究人員表示,通過將該P(yáng)IN碼關(guān)聯(lián)另一名用戶,可以修改API調(diào)用對(duì)該P(yáng)IN碼進(jìn)行身份認(rèn)證,并成功以受害者身份登錄。

Mohan表示,這意味著“你可以以一個(gè)用戶的身份進(jìn)行SMS OTP驗(yàn)證,提交第二個(gè)用戶的PIN碼,最終,你會(huì)以第二個(gè)用戶的身份登錄。”

并且,用于設(shè)置秘密的PIN碼的API端點(diǎn)缺少授權(quán)實(shí)際上意味著,該API可被用于重置與使用個(gè)人UUID的隨機(jī)用戶關(guān)聯(lián)的PIN碼。

Mohan補(bǔ)充道,“在POST請(qǐng)求上沒有與session相關(guān)的信息,因此它不綁定任何用戶?!?/p>

DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析

除了上述提到的問題,來自移動(dòng)app的API調(diào)用采用基本認(rèn)證方式進(jìn)行保護(hù),攻擊者可通過移除一個(gè)header flag“is_encrypted:1.”繞過該認(rèn)證方式。研究人員還發(fā)現(xiàn)該應(yīng)用程序?qū)崿F(xiàn)一個(gè)弱SSL鎖定機(jī)制,使用Frida等工具可輕易繞過該機(jī)制。

Mohan在5月10日向CERT-In報(bào)告了該漏洞,Ashish在5月16日也向DigiLocker進(jìn)行了報(bào)告,DigiLocker表示該漏洞已在5月28日得到修復(fù)。

Digilocker上周在一條推文中承認(rèn)了該漏洞,該推文寫道,“如果攻擊者知道某個(gè)特定賬戶的用戶名,個(gè)人的DigiLocker賬戶可能會(huì)被入侵,這是該漏洞的性質(zhì)。如果不知道賬戶用戶名和其他詳情,則任何人都無法利用該漏洞訪問DigiLocker賬戶。”

Digilocker團(tuán)隊(duì)補(bǔ)充說明道,“經(jīng)過分析,發(fā)現(xiàn)該漏洞存在于一些最近新增的功能的代碼中。在收到CERT-In的告警后,技術(shù)團(tuán)隊(duì)在一天內(nèi)優(yōu)先修復(fù)了該漏洞。這并非對(duì)基礎(chǔ)設(shè)施的攻擊,數(shù)據(jù)、數(shù)據(jù)庫、存儲(chǔ)或加密未受影響。”

看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI