Hello there, ('ω')ノ

 

2000ドル相当のパスワードリセットによるアカウント乗っ取りを。

 

脆弱性：

　パスワードリセットの欠陥

　アカウントの乗っ取り

 

記事：

　https://ashutoshmishra00x0.medium.com/account-takeover-via-reset-password-worth-2000-de085851d81d

 

バグバウンティプログラムを実行しているウェブサイトを手に入れて。

セキュリティ上の理由から、ウェブサイト名をredacted.comとすることに。

 

今回は、Burp Suiteを開始する前に、通常のユーザとして。

アプリケーションフローを理解し始め。

次にBurp Suiteを使用してウェブサイトをスパイダーし始め。

SSRFを見つけるためにいくつかのエンドポイントを検索していましたが。

SSRFを成功させるためのエンドポイントを見つけることができず。

 

次に頭に浮かぶのは、ウェブサイトの登録とログインページで。

ブラインドSSRFのすべてのリクエストに。

コラボレータのリンクを入れようとしたが、成功せず。

常にSSRFとアカウントの乗っ取りを探しており。

その後、ログインページでハントを開始することに。

ログインするオプション、通常の電子メールとパスワードなどは。

oauthを介して行われ、oauthの設定ミスを見つけようとしましたが。

開発者はoauthの実装に非常に優れていて。

 

次の試みは、応答操作を使用して電子メールとパスワードを介して。

ログインすることでしたが、成功せず。

パスワードのリセットに目が向いていたので、このメカニズムを試してみようと。

リセットパスワードは、パスワードをリセットするための。

電子メールの指示を送信することによって実装されて。

リセットパスワードを要求しているときに。

応答でリセットトークンを取得することを期待して応答の要求を傍受しましたが。

何も取得できず。

そのため、メールにアクセスしてリセットリンクを開き。

パスワードを変更しながらリクエストを傍受しようとすると。

次のリクエストが表示されて。

 

このリクエストを観察した後に。

authenticity_tokenは、csrf保護が実装されていませんでしたので。

電子メールアドレスとチェーンされている可能性があると思ったので。

トークンと電子メールがリンクされているかどうかを確認することに。

メールをando@yopmail.comからvictim@email.comに変更したところ。

パスワードがリセットされたという通知が右隅にあったので。

確認するために、被害者のメールアドレスとパスワードを入力すると。

被害者のアカウント内にあるため、認証トークンとメールアドレスの連鎖がなく。

アカウントの乗っ取りにつながって。

ヒント：

　パラメータ値を変更して、トークンが。

　アカウントにチェーンされているかどうかを確認して。

 

Best regards, (^^ゞ