Hello there, ('ω')ノ
2000ドル相当のパスワードのリセットによるアカウントの乗っ取りを。
脆弱性:
パスワードリセットの欠陥
アカウントの乗っ取り
記事:
https://ashutoshmishra00x0.medium.com/account-takeover-via-reset-password-worth-2000-de085851d81d
ウェブサイト名をredacted.comと仮定して。
はじめに通常のユーザとしてのアプリケーションフローを理解し始めることに。
それから、Burp Suiteを使ってウェブサイトをスパイダーを開始して。
SSRFを見つけるためにいくつかのエンドポイントを探して。
しかし、SSRFを成功させるためのエンドポイントを見つけることができず。
次にウェブサイトの登録とログインページを。
ブラインドSSRFのすべてのリクエストにコラボレーターリンクを入れたものの。
すべて成功せず。
次にログインページは、ログインするための2つのオプションがあって。
通常の電子メールとパスワード、そして他はoauthを通していたので。
oauthの設定ミスを見つけようとしたのですが成功せず。
最後にパスワードのリセットのメカニズムを試してみることに。
パスワードをリセットするための電子メールを送信するようで。
リセットパスワードを要求しているときに。
応答でリセットトークンを取得することを期待して応答への要求を傍受したのですが。
何も得られず。
なので、メールにあるリセットリンクを開いて。
パスワードを変更しながらリクエストを傍受しようとした後に。
下記のリクエストに注目することに。
リクエストを観察した後、2つのことが頭に浮かんで。
1つはリクエストにcsrf保護が実装されていなくて。
でも、authenticity_tokenが電子メールとチェーンされている可能性があると思って。
だったら、csrfは使用されないわけで。
トークンと電子メールがリンクされているかどうかを確認することに。
メールをando@yopmail.comからvictim@email.comに変更したところ。
パスワードがリセットされたとの通知があって。
確認するために、被害者のメールアドレスとパスワードを入力してみると。
被害者のアカウントになったので。
認証トークンと電子メールアドレスの連鎖がなく、アカウントの乗っ取りができて。
Best regards, (^^ゞ