这个漏洞搞得我比较生气

网站存在两种找回方式:手机号、邮箱

刚开始的时候我貌似用了绕过客户端验证,来绕过手机号找回;但是死活绕过不邮箱找回

于是我又心塞塞的尝试绕过邮箱找回,进一步挖掘,放大

呃.. 在一个站点,挖到一处漏洞后,我总会像打了鸡血一样再去挖掘别的漏洞


漏洞详情

1.png

在选择身份的时候可以选择手机找回,还是邮箱找回

手机找回是填写短信验证码,然后跳转到下一步,可以通过修改响应包里的参数值来绕过

邮箱找回是,点击邮箱里的链接,然后跳转到下一步,无法通过修改响应包里的参数值来绕过

2.png

3.png

4.png

典型的信任域问题,设置新密码的这一步,服务器默认已经通过检验,值得信赖,于是便未再次作检验


乌云案例

先使用自己的账号走一遍,获取每个步骤的页面链接,记录页面三对应输入新密码的链接;重置受害者时,获取验证码后,直接跳转到页面三

http://cb.drops.wiki/bugs/wooyun-2016-0211505.html

http://cb.drops.wiki/bugs/wooyun-2016-0189300.html


本文由 TEag1e 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论

icon_redface.gificon_idea.gificon_cool.gif2016kuk.gificon_mrgreen.gif2016shuai.gif2016tp.gif2016db.gif2016ch.gificon_razz.gif2016zj.gificon_sad.gificon_cry.gif2016zhh.gificon_question.gif2016jk.gif2016bs.gificon_lol.gif2016qiao.gificon_surprised.gif2016fendou.gif2016ll.gificon_mrgreen.pngicon_neutral.pngicon_twisted.pngicon_arrow.pngicon_eek.pngicon_smile.pngicon_confused.pngicon_cool.pngicon_evil.pngicon_biggrin.pngicon_idea.pngicon_redface.pngicon_razz.pngicon_rolleyes.pngicon_wink.pngicon_cry.pngicon_surprised.pngicon_lol.pngicon_mad.pngicon_sad.pngicon_exclaim.pngicon_question.pngicon_rolleyes.gif2016gz.gif2016kun.gif2016zhem.gif2016am.gif2016kel.gificon_twisted.gif2016lh.gificon_neutral.gif2016ka.gif2016tx.gificon_evil.gif2016bb.gif2016yun.gif2016qq.gif2016baojin.gificon_confused.gif2016kk.gif2016zk.gif2016kb.gificon_mad.gif2016yhh.gificon_exclaim.gif2016xia.gif2016gg.gif2016qd.gificon_smile.gif2016lengh.gificon_biggrin.gif2016bz.gif2016wq.gificon_eek.gificon_arrow.gificon_wink.gif2016tuu.gif