shikata ga nai

Private? There is no such things.

Account takeover through password resetを訳してみた

Hello there, ('ω')ノ

 

パスワードのリセットによるアカウントの乗っ取りを。

 

脆弱性:

 アカウントの乗っ取り

 パスワードリセットの欠陥

 

記事:

 https://infosecwriteups.com/account-takeover-through-password-reset-82adc0c19248

 

ツール:

 OWASP ZAP

 Burp Suite

 

今回のターゲットをredacted.comと呼ぶことに。

プログラムを偵察した後、パスワードリセット機能を調べ始めて。

通常は(ATO、ホストヘッダインジェクション)のような脆弱性を探すのですが。

 

ユーザがパスワードをリセットしたい場合は、名前と電子メールを入力して。

パスワードリセットリンクが、彼の電子メールに送信されるので。

アカウントのパスワードのリセットをリクエストして。

そのリクエストを(Zapプロキシ経由で)傍受して詳細に調べると。

下記のようなリクエストを見つけて。

 

f:id:ThisIsOne:20211012072234p:plain

 

そして、パスワードリセットリンクは下記のとおりで。

 https://redacted.com/Reset?token=04294876770750

 

これまでのところ、わくわくするようなことは何もなかったので。

リンクを使用し、パスワードを変更して、リクエストを傍受すると。

ここで、下記のような非常に興味深いにリクエストを見つけて。

 

f:id:ThisIsOne:20211012072319p:plain

 

このリクエストからパスワードのリセットに使用されたトークンが見つかって。

これは、ユーザがパスワードのリセットをリクエストしたときに。

送信される既存のトークンと同じで。

 securityToken=

 

ここから、被害者のパスワードを変更することでアカウントを引き継ぐことができて。

 

再現手順 :

1.被害者のアカウントのパスワードをリセットして。

 Burp Ssuiteでリクエストをブロックするようリクエストすると。

 

2.被害者のパスワードをリセットするために使用するトークンが見つかるので。

 

3.アカウントのパスワードリセットをリクエストして。

 パスワードリセットリンクを使用してパスワードを変更して。

 Burp Suiteを介してリクエストをインターセプトすると。

 

4.下記のようなリクエストを見つけることができて。

 

f:id:ThisIsOne:20211012072338p:plain

 

5.トークンを被害者のトークンに置き換えると。

 被害者のパスワードが正常に変更されて。

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain