这个漏洞搞得我比较生气

网站存在两种找回方式:手机号、邮箱

刚开始的时候我貌似用了绕过客户端验证,来绕过手机号找回;但是死活绕过不邮箱找回

于是我又心塞塞的尝试绕过邮箱找回,进一步挖掘,放大

呃.. 在一个站点,挖到一处漏洞后,我总会像打了鸡血一样再去挖掘别的漏洞


漏洞详情

1.png

在选择身份的时候可以选择手机找回,还是邮箱找回

手机找回是填写短信验证码,然后跳转到下一步,可以通过修改响应包里的参数值来绕过

邮箱找回是,点击邮箱里的链接,然后跳转到下一步,无法通过修改响应包里的参数值来绕过

2.png

3.png

4.png

典型的信任域问题,设置新密码的这一步,服务器默认已经通过检验,值得信赖,于是便未再次作检验


乌云案例

先使用自己的账号走一遍,获取每个步骤的页面链接,记录页面三对应输入新密码的链接;重置受害者时,获取验证码后,直接跳转到页面三

http://cb.drops.wiki/bugs/wooyun-2016-0211505.html

http://cb.drops.wiki/bugs/wooyun-2016-0189300.html