shikata ga nai

Private? There is no such things.

Zero Click account Takeoverを訳してみた

Hello there, ('ω')ノ

 

脆弱性:

 アカウントの乗っ取り

 パスワードリセットの欠陥

 

記事:

 https://medium.com/@zahirtariq/zero-click-account-takeover-32e888d13e73

 

Up chieveプログラムで見つけた重大なバグを共有を。

パスワードのリセット機能をテストするのが好きなので。

mohmalで一時的にメールを作成して、Up chieveにサインアップして。

 https://www.mohmal.com/en

 

f:id:ThisIsOne:20210727145954p:plain

 

パスワードのリセットリクエストでは、Jsonのパラメータがあって。

  “email":”me@mail.com”

 

レスポンスは下記のとおりで。

 “msg”:”password reset email sent

 

メールパラメータ値に2つのメールを配列として作成して。

下記のように送信すると。

 

{

 “email”:[

  ”victimMail”,

  ”attackerMail"

 ]

}

 

f:id:ThisIsOne:20210727142551p:plain

 

メッセージは、「password reset email sent」と表示されたので。

そこで、2番目のメールを確認すると。

『UP chieveでサインアップしなかったので。

 UP chieveからパスワードのリセットメールを受け取りました。』とのことで。

 

 From : upchieve

 To : my victim email , and my attacker email

 

f:id:ThisIsOne:20210727142711p:plain

 

リセットリンクトークンが両方のメールで同じであるかどうかを確認して。

ここまでは重大なバグですが。

Burpスキャナは、開示された電子メールアドレスが。

UP chieveに属していることも発見して。

 

パスワードのリセットリクエストのヒントは下記のとおりで。

1.BurpのContent Type converterを使用して。

2.リクエストをjsonに変換して。

  アプリケーションが受け入れた場合は、このトリックを試して。

3.リクエストをxmlに変換して。

  アプリケーションがそれを受け入れた場合は、XXEを試すことができて。

 

f:id:ThisIsOne:20210727144038p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain