Hello there, ('ω')ノ
脆弱性:
アカウントの乗っ取り
パスワードリセットの欠陥
記事:
https://medium.com/@zahirtariq/zero-click-account-takeover-32e888d13e73
Up chieveプログラムで見つけた重大なバグを共有を。
パスワードのリセット機能をテストするのが好きなので。
mohmalで一時的にメールを作成して、Up chieveにサインアップして。
パスワードのリセットリクエストでは、Jsonのパラメータがあって。
“email":”me@mail.com”
レスポンスは下記のとおりで。
“msg”:”password reset email sent”
メールパラメータ値に2つのメールを配列として作成して。
下記のように送信すると。
{
“email”:[
”victimMail”,
”attackerMail"
]
}
メッセージは、「password reset email sent」と表示されたので。
そこで、2番目のメールを確認すると。
『UP chieveでサインアップしなかったので。
UP chieveからパスワードのリセットメールを受け取りました。』とのことで。
From : upchieve
To : my victim email , and my attacker email
リセットリンクトークンが両方のメールで同じであるかどうかを確認して。
ここまでは重大なバグですが。
Burpスキャナは、開示された電子メールアドレスが。
UP chieveに属していることも発見して。
パスワードのリセットリクエストのヒントは下記のとおりで。
1.BurpのContent Type converterを使用して。
2.リクエストをjsonに変換して。
アプリケーションが受け入れた場合は、このトリックを試して。
3.リクエストをxmlに変換して。
アプリケーションがそれを受け入れた場合は、XXEを試すことができて。
Best regards, (^^ゞ