Shikata Ga Nai

Private? There is no such things.

Account Takeover via Response Manipulationを訳してみた

Hello there, ('ω')ノ

 

応答操作によるアカウント乗っ取りを。

 

脆弱性:

 認証バイパス

 アカウント乗っ取り

 2FA バイパス

 HTTP レスポンス操作

 

記事:

 https://medium.com/@bughunt789/account-takeover-via-response-manipulation-96be568feb7e

 

今回は、ターゲットを Redacted.com と呼ぶことに。

グループを作成してユーザを追加する機能など、非常に多くの機能があり。

脆弱性の大きな窓を開くため。

グループを作成する機能を備えたWebサイトをテストするのが大好きで。

 

最初は HTML 、XSS、CSRF、IDOR などのバグをテストしましたが成功せず。

後で、2FA 機能があることに気付いて。

2FA を使用すると、ユーザはログインしてパスワードをリセットすることもできて。

 

それで、レスポンス操作攻撃を実行することに。

まず、ログイン ページに移動し、資格情報を入力すると。

2FA ページにリダイレクトされて。

ランダムな OTP を挿入し、Burp Suiteでリクエストをキャプチャして。

リクエストを右クリックし、リクエストをレスポンスに送信し。

このレスポンスで 200 OK のようにして。

 

 

レスポンスの"error":false ⇨ "error":true に変更するだけで2FA がバイパスされて。

それが有効な問題であることを知っており、すぐに報告して。

 

その後、パスワードを忘れる機能も OTP にあることを思い出したので。

 [ログアウト] をクリックし、[パスワードを忘れた場合] 機能をクリックして。

メールIDを入力すると、2FAコード、メールOTP、電話番号OTPなどの。

パスワードをリセットするオプションが表示されたので。

2FA コードを選択すると、再び OTP ページにリダイレクトされて。

 

次にランダムな OTP 000000 を挿入し、Burp Suiteでリクエストをキャプチャして。

リクエストを右クリックし、リクエストを レスポンスに送信して。

再度、レスポンスの"error":false ⇨ "error":trueを変更すると。

Web サイトは新しいパスワード ページにリダイレクトされるので。

パスワードを変更して。

 

ここで認証バイパスが機能する可能性があると感じたので。

すぐに被害者のメールを入力して、すべての手順を繰り返して。

何の操作もなしに数秒以内に誰のパスワードを変更できたかを推測して。

 

Best regards, (^^ゞ