标题:$1120: ATO Bug in Twitter’s
作者:Abhi Sharma
原文地址:https://medium.com/@a13h1/1120-ato-bug-in-twitters-e6d30aa4e0e8
讲述一个关于1120美元Twitter漏洞的故事——这个安全漏洞允许攻击者在不知道密码的情况下夺取账户的完全控制权。
在这篇文章中,当提到Twitter时,指的是社交媒体平台Twitter。几个月前,我开始了我的漏洞赏金生涯,并在2020年10月发现了这个漏洞。这个漏洞的具体内容是:攻击者能够删除账户中的电话号码并添加自己的号码,然后修改密码,最终完全控制该账户,而他们之前只能通过会话劫持或抓取Cookie来获取部分访问权限。
Twitter 流程
想象一下,您正在使用Twitter,突然,一个黑客劫持了您的会话。这是一个可怕的场景。但Twitter实施了一层额外的保护。当试图进行重大更改时,例如更改电话号码或禁用双因素身份验证(2FA),黑客通常会被提示输入您的帐户密码。这是一个挑战,因为他们没有你的密码。然而,这个故事有一个转折。
缺陷
我发现了一些漏洞,使得一个劫持了会话的黑客能够绕过密码屏幕。这意味着即使他们不知道你的密码,他们仍然可以对你的Twitter账户进行更改。
工作原理:以下是这个漏洞的运作方式:
-
会话劫持者试图更改您的电话号码或禁用双因素认证(2FA)。 -
Twitter通常要求进行密码确认才能进行这些更改,但存在一个关键问题。 -
在删除电话号码后,2FA会被禁用。 -
但是,要删除电话号码,攻击者需要密码,所以我找到了一个替代路径,我探索了Twitter的设置。 -
我发现了一些有趣的东西,为了理解这是如何工作的,让我们逐步分解: -
在Twitter的设置中导航到“安全与隐私”。 -
进入“通知”并选择“首选项”。 -
选择“短信通知”并选择顶部的电话号码。请注意,删除它时不需要密码确认,所以继续删除。
现在我们已经完成了一半的工作,现在电话号码已经被删除,2FA已经被禁用,现在我需要找到一种在没有密码的情况下添加电话号码的方法。
我找到了一些奇怪的URL,可以让我绕过密码屏幕,通过启用2FA的过程来添加电话号码。
-
现在,返回设置并选择“安全和帐户访问”。 -
在“安全”下,选择“双因素身份验证”,然后选择“短信”。 -
但是密码屏幕出现了。 -
现在是时候使用我们的神奇URL了,我使用了https://twitter.com/account/access?feature=two_factor_auth_totp_enrollment&initiated_in_iframe=true -
当页面加载完成后,我直接进入了添加电话号码的步骤,而无需密码。 -
现在,我添加了电话号码,验证了OTP并启用了2FA。 -
这就是我的电话号码是如何添加到受害者账户中的。
现在你会好奇它是如何变成ATO(账户接管)的。
那么,我们来进行最后一步。
-
我登出该账户,进入忘记密码页面。 -
输入我之前更新的电话号码。 -
在手机上获取OTP。 -
更改密码。 -
现在,我完全控制了受害者的账户。
奖金
发现安全漏洞只是一方面,真正的价值在于负责任的披露和合作。Twitter意识到这个安全问题的重要性,并承认了我的发现。作为对我的贡献的认可,Twitter授予了1120美元的赏金。
每周一9点发布精选内容。
每周三9点发布翻译内容。
更多安全资讯,请关注微信公众号:安全虫。
每周坚持学习与分享,觉得文章对你有帮助可在底部给点个“在看”。
原文始发于微信公众号(安全虫):【翻译】Twitter账户接管(020)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论