Shikata Ga Nai

Private? There is no such things.

My P1 — Account Takeoverを訳してみた

Hello there, ('ω')ノ

 

アカウント乗っ取りを。

 

脆弱性:

 アカウントの乗っ取り

 IDOR

 パスワードのリセット

 

記事:

 https://medium.com/@metikalakullai.gtl/my-p1-account-takeover-3293fc59e10

 

彼らのウェブサイトには招待機能があり。

その機能を使えば、被害者のアカウントを乗っ取ることができて。 

 

この招待機能を使用することで、ユーザを招待でき。

User-A が攻撃者で、User-B が攻撃者の友人であるとして。

User-A がUser-B を招待し、User-B が承認され、

User-A とUser-B が同じグループに所属して。


hackerKullai(User-A)

 

ここで、User-A はUser-B にパスワードをリセットするように伝え。

User-A は管理者であり、User-A はパスワードのリセット メールを

User-B に送信する権限を持っていて。

これで、User-B はパスワードのリセット リンクをメールで受け取り。

 

 

彼はリンクを開くだけで、パスワードを変更せず。

User-Bのメールを更新したことがわかり。

 

 

User-A は、User-B の電子メールを被害者の電子メールに変更し。

User-B のメールが被害者のメールに変更され。

 

 

被害者の電子メールに変更した後、User-B はパスワードを変更し。

ここで User-B のパスワードを変更する必要がありますが、

Victim のパスワードが更新されていて。

 

被害者の介入なしで、パスワードを変更でき、

User-B によって変更された新しい資格情報でログインできて。

文字通りこれを自分自身をアカウントの乗っ取りとして混乱させて名付けて。

 

影響:

インタラクションがなければ、メール ID を知っているだけで、

誰のアカウントも乗っ取ることができて。

 

Best regards, (^^ゞ