以前看了一片密碼找回漏洞的總結,現在又看到了一些新的情況,寫出來補充一下。
上篇文章中已有的7點如下:
1. 密碼找回憑證太弱,容易被爆破
2. 密碼找回憑證可以從客戶端、URL中直接獲取
3. 密碼找回憑證可以在網頁源代碼中直接獲取
4. 密碼找回的郵箱鏈接易猜解,如時間的md5
5. 密碼找回憑證存并非只是與單個用戶并綁定的問題。
6. 密碼找回的手機或郵箱從頁面獲取,可以通過firebug修改
7. 最后提交新密碼時修改用戶ID為其他ID
一. 跳過驗證步驟、找回方式,直接到設置新密碼頁面
WooYun: OPPO手機同步密碼隨意修改,短信通訊錄隨意查看
二. 找回密碼時沒有在服務器上驗證用戶名與郵箱是否匹配便發送了驗證碼
WooYun: 魅族的賬號系統內存在漏洞可導致任意賬戶的密碼重置
http://www.zhaojin97.cn/read-196.html
三. 重置密碼時返回的token沒有與賬號以及驗證碼綁定
還是上面的魅族密碼重置問題
四. 服務器只驗證了對應的驗證信息是否存在,沒有驗證是否與賬號匹配
WooYun: 第二次重置OPPO手機官網任意賬戶密碼(秒改)
五. 在本地驗證服務器的返回信息,確定是否執行重置密碼,但是其返回信息是可控的內容,或者可以得到的內容
六. 發送短信等驗證信息的動作在本地進行,可以通過修改返回包進行控制
七. 提交新密碼時的,只驗證了部分可控的信息是否匹配
八. 在找回密碼處存在注入漏洞
WooYun: 用友人力資源管理軟件(e-HR)另一處SQL注入漏洞(通殺所有版本)
找回密碼憑證夠復雜并且不可猜測,任何動作放在服務器端進行,傳輸的驗證參數做好加密,同時對參數做好過濾