原文地址:http://drops.wooyun.org/papers/287

0x00 背景介紹

有人的地方就有江湖。

互聯網中，有用戶注冊的地方，基本就會有密碼找回的功能。

而密碼找回功能里可能存在的漏洞，很多程序員都沒有想到。

而這些漏洞往往可能產生非常大的危害，如用戶賬號被盜等。

并且這種漏洞在非常多的大互聯網公司中都出現過。

0x01 檢測方式及案例

烏云上搜索：密碼找回，密碼修改，密碼重置關鍵字。

總結出以下7點，如有其它的還望提醒補充~！

大家在為公司項目做測試的時候可做參考。

找回密碼存在缺陷的地方有幾處：

1、密碼找回的憑證太弱，如只需要填入一個四位或者六位的純數字就可以重置密碼，導致可以暴力破解。

案例：

WooYun: 當當網任意用戶密碼修改漏洞

還有一個做了限制但是被繞過的經典案例：

WooYun: 微信任意用戶密碼修改漏洞

限制了提交次數，但是存在邏輯問題，可以繞過，具體可以點擊去看下。

2、密碼找回憑證可從客戶端直接獲取。

密碼找回憑證在客戶端獲取，在密碼找回時注意抓包查看所有url返回響應等，看是否有最終的憑證出現，這樣就可以繞過手機或者安全郵箱了。

WooYun: 走秀網秀團任意密碼修改缺陷

3、密碼找回憑證在頁面中可以直接獲取。

一個經典案例，找回密碼的答案在網頁的源代碼中……

WooYun: sohu郵箱任意用戶密碼重置

4、密碼找回憑證可以比較容易的猜出。

找回密碼的關鍵憑證僅僅是時間戳的md5，被白帽子犀利的察覺到~，輕松找回任意賬戶密碼。

WooYun: 奇虎360任意用戶密碼修改漏洞

5、密碼找回憑證存并非只是與單個用戶并綁定的問題。

找回密碼憑證發到郵箱中，url中包含用戶信息以及憑證，但是這個憑證可以重置任何用戶。

WooYun: 身份通任意密碼修改-泄漏大量公民信息

6、用戶找回密碼的郵箱地址或者手機號碼被修改。

這個其實應該是綁定安全手機的邏輯問題，導致可以使任意用戶幫上自己可控的安全手機，然后就可以重置任意人的手機號碼了。

WooYun: 網易郵箱可直接修改其他用戶密碼

7、在最后提交修改的密碼處的邏輯錯誤。

前面所有的邏輯都沒有問題，那么是不是就沒有問題了呢？

還有白帽子發現，在最后重置密碼處跟隨一個用戶ID，改成其它用戶的ID，即可把其它用戶改成你剛剛修改的密碼。

WooYun: 攜程旅行網任意老板密碼修改(慶在wooyun第100洞)

0x02 修復方案

找回密碼憑證夠復雜并且不可猜測，同時注意以上邏輯問題，不可存在越權，或者重要的憑證在不該出現的地方出現。