Hello there, ('ω')ノ

 

脆弱性：

　アカウントの乗っ取り

　パスワードリセットの欠陥

 

記事：

　https://medium.com/@zahirtariq/zero-click-account-takeover-32e888d13e73

 

Up chieveプログラムで見つけた重大なバグを共有を。

パスワードのリセット機能をテストするのが好きなので。

mohmalで一時的にメールを作成して、Up chieveにサインアップして。

　https://www.mohmal.com/en

 

 

パスワードのリセットリクエストでは、Jsonのパラメータがあって。

 　“email":”me@mail.com”

 

レスポンスは下記のとおりで。

　“msg”:”password reset email sent”

 

メールパラメータ値に2つのメールを配列として作成して。

下記のように送信すると。

 

{

　“email”:[

　　”victimMail”,

　　”attackerMail"

　]

}

 

 

メッセージは、「password reset email sent」と表示されたので。

そこで、2番目のメールを確認すると。

『UP chieveでサインアップしなかったので。

　UP chieveからパスワードのリセットメールを受け取りました。』とのことで。

 

　From : upchieve

　To : my victim email , and my attacker email

 

 

リセットリンクトークンが両方のメールで同じであるかどうかを確認して。

ここまでは重大なバグですが。

Burpスキャナは、開示された電子メールアドレスが。

UP chieveに属していることも発見して。

 

パスワードのリセットリクエストのヒントは下記のとおりで。

１．BurpのContent Type converterを使用して。

２．リクエストをjsonに変換して。

　　アプリケーションが受け入れた場合は、このトリックを試して。

３．リクエストをxmlに変換して。

　　アプリケーションがそれを受け入れた場合は、XXEを試すことができて。

 

 

Best regards, (^^ゞ