来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
0x1 前言
某次众测,在测试过程中,发现平台在用户身份验证机制上的关键缺陷,导致仅需获取目标用户的用户名和手机号,即可实现任意用户密码的修改。这一问题显然暴露了平台在身份认证设计中的重大安全隐患。
这一漏洞的利用门槛相对较低,攻击者可以通过社会工程学或公开信息获取目标用户的基本信息,然后直接发起攻击,劫持用户账户。漏洞的影响不仅局限于个人隐私和账户安全,还可能对整个平台的核心业务和用户信任造成严重威胁
0x2 漏洞案列
通过fofa找到资产中的一个采购平台。
在修改密码处,需要身份验证码。
测试过后发现在身份验证中,要求手机号和用户账号要保持一直。但是我们现在没有账号,在主页中也没有发现注册的功能点,开始分析js文件,观察findsomething插件,看是否存在注册接口。
给大家推荐一个比较好用的插件,配合findsomething简直无敌了。
findsomething点击复制url
将复制的url粘贴到这个里面,点击openurls,该插件就会将所有的url在当前浏览器中,都跑一边。
下载地址:https://github.com/htrinter/Open-Multiple-URLs
打开后浏览器的标签栏belike(注:可能会导致电脑卡顿):
但是缺点也很明显,findsomething插件复制出来的的url,都是自动拼接到根路径。如:https://baidu.com/aooucth 而网站真正的路径可能前面存在固定路径,如:https://baidu.com/固定路径/aooucth 这样的,遇到这种问题,还需要师傅们自己拼接,或者通过burp爆破。
再次这个网站就是这样的,在findsomething,发现/page/supplier/register/register.html
,直接拼接会跳转到主页,在固定路径后拼接就可注册了。
正常注册账号后,忘记密码处,输入正确的账号和手机号,获取数据包。
https:/xxx/pass.html?id=xxxxx6xxxxxxxxxxxxxx
漏洞横向
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
<span
原文始发于微信公众号(掌控安全EDU):记一次众测发现的任意用户修改密码
</span
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论