Shikata Ga Nai

Private? There is no such things.

How I Was Able To TakeOver Any Account On One Of Europe's Largest Media Companiesを訳してみた

Hello there, ('ω')ノ

 

ヨーロッパ最大のメディア企業の1つでアカウントを引き継ぐことができた方法を。

 

脆弱性:

 IDOR

 アカウントの乗っ取り

 

記事:

 https://medium.com/@tobydavenn/how-i-was-able-to-takeover-any-account-on-one-of-europes-largest-media-companies-e8d25e59c08

 

この脆弱性は、IDORの重大な脆弱性で。

redacted.comを探しているときに。

会社のSSO(シングルサインオン)サイトに出くわして。

ここでアカウントを登録することができたので。

これにより、この会社の下にある他の多くのサイトへのSSOが可能になって。

機能をテストしているときに。

リセットパスワード(これはリセットパスワードの乗っ取りではなく)で。

UIDを反映するエンドポイントに気づいて。

これは、約32文字の長さで。

 

 

最初は、それを推測するのは難しいと思いましたが。

1000個の同様のトークンとブルートフォースを生成すると。

403でブロックされて。

エージェントヘッダを変更するものはなく、IPはバイパスできず。

 

セキュリティ研究者が、UIDを推測するのは一見難しいように思われることを。

決してあきらめず、これらがリークされている場所を探すと言った。

別のレポートを読んだことを思い出して。

さらにAPIエンドポイントを調べたところ、UIDをリークすることはできず。

 

この問題を有益なものとして保留すると。

サイトにはグループ機能があって。

グループへの参加をリクエストするときに、エンドポイントに.jsonを追加すると。

グループ内のメンバーのすべてのUIDが明らかになって。

これらのUIDをchangeEmailエンドポイントに追加すると。

アカウントに関連付けられているすべてのPIIが明らかになり。

パスワードハッシュも含まれていて。

 

 

さらに先に進むことに。

ユーザ名とパスワードのハッシュはありますが、解読には時間がかかり。

UIDとメールアドレスがあるので。

プロファイル情報を変更できるエンドポイントで、UIDとメールアドレスを使用して。

変更されたアカウントを確認したことを思い出したので。

UIDとメールアドレスを有効なアカウントのものに変更することで。

被害者のアカウントのパスワードを含むすべての情報を変更することができて。

反映されたXSSは、オープンリダイレクトの脆弱性を介して可能で。

 

Best regards, (^^ゞ