首要這不是一篇結算性的帖子,畢竟對于暗碼找回的測試想法絡上有對照全面的結算,比如用戶憑證暴力破解,系統返回了主要的憑證,郵箱手機弱token,token通用,session蓋住,用戶憑證有效期疑問,憑證算法被破解,前端校驗等等一系列漏洞。在這里附上前輩結算的腦圖,結算的也是對照詳細了。在日常的授權測試以及論 壇瞎逛中,發明了一些對于個人而言對照有意思的找回暗碼的操縱,獨樂樂不如眾樂樂,分享出來但願能幫到各位師傅。
有些人以為HTTP的聯機便是靠包里的HOST header來連結的,所以會以為假如改動偷換里的HOST, 那麼就連結不到目標服務器,所以是不可控的。實在HTTP的聯機與包里的HOST并沒有啥關系, HTTP的聯機是TCPIP創建的, 所以改動掉HOST HEADER并不會把包丟到另有一個服務器上。
所以當應用採用$_SERVER[‘HTTP_HO百家樂 預測公式ST’]獲取站URL并拼湊到找回暗碼的鏈接當中就會產生漏洞。當你採用站暗碼重置性能時,站URL可能在將來會變更,所以要動態地生成一個郵箱找回暗碼的鏈接來匹配服務器的URL。這個時候可能就會採用$_SERVER[‘HTTP_HOST’],Host header 是客戶端提供的,意味著進攻者可以將他們自己的址寫到重置暗碼的郵件當中,恐嚇任意用戶的賬戶安全。通過 X-Forarded-Host 來拼湊找回暗碼鏈接中的域名,這樣可以通過寫入自己管理的域名,然后通過拜訪紀實發明找回暗碼鏈接,在拼湊回正確域名重置任意用戶暗碼。
利用前提是受害者必要核心擊重置鏈接,你才能從你管理的站中通過拜訪紀實察看到重置鏈接。
舉個kackerone的範例
Mavenlink許可用戶注冊一個mavenlink.的子域名去呈現他們的內容百家樂 技巧 ptt,所以他們需要一個想法去動態百家樂經驗心得地決意公司的子域名。
host header 可以建置為mavenlink.的任意子域名,可是從mavenlink.更換域名將會返回一個過錯,而不是發送一個郵件。
添加一個隨機的mavenlink.的子域名,可是這會被定向到正確的頁面,沒設法插入自己的域名。
測試特殊字符。服務器接納host header中的一個問號,生成下面的鏈接Host example.?.mavenlink.這樣就可以從用戶郵件中竊取暗碼重置token當然這里還涉及到了域名檢測的繞過疑問,一旦用戶點擊該鏈接,我們在example.即可獲取到重置鏈接信息
在給后端傳遞要發送驗證鏈接的郵箱或者手機號時,可以傳遞一個郵箱或者手機的聚合,然后只要第一個郵箱或者手機號是數據庫里存在的郵箱或者手機號,那麼 將會向這批手機號或者郵箱發送一樣的鏈接信息團隊測試中遭遇的範例在hackerone披露的漏洞中同樣存在這樣的範例,通過發送兩個郵箱,一個為受害者的郵箱,一個為自己管理的郵箱,這樣就可以盜取到受害者郵箱中的重置暗碼的鏈接,到達任意用戶暗碼重置的目的。由于沒有看到過這種引發該漏洞的源碼,猜考試證環節是許可獲取一個雷同于聚合的東西,遍歷此中的值是否有存在于數據庫中的值,假如存在則對該聚合放行,然后發送驗證信息的邏輯同樣許可傳入一個聚合再去遍歷聚合中的每一個值,對每一個值發送一樣的驗證鏈接
由于sql語句的拼湊疑問導致在手機號處存在sql注入疑問,實在這也通知我們在sql語句的執行中只要涉及到了拼湊疑問就有可能存在漏洞,在團隊授權的測試中也遭遇過更換日期處存在sql注入的範例,反正都挺好玩的。這里用了一個sqrt函數,sqrt為一個平方根算計函數,當途經平方根算計之后和前面的數字拼湊,手機號存在于數據庫中則發送驗證碼假如途經算計和前面的數字拼湊手機號不存在于數據庫中則顯示驗證碼發送失敗通過這種方式來進行數據庫相關信息的猜測
這種邏輯漏洞老是在攻與防的斗爭中連續不斷向前,肯定會有腦洞大開的人發明更多的騷套路,這是現在在測試中遭遇過的幾種對照有意思的任意用戶百家樂 預測app暗碼重置漏洞的操縱,在互聯上能找到範例的盡量采用了互聯範例,如有侵權場所還望示知。
