PJzhang:任意密码重置的常规姿势

最新推荐文章于 2024-07-14 18:10:31 发布
最新推荐文章于 2024-07-14 18:10:31 发布
阅读量182 收藏
点赞数
文章标签: 前端 后端 ViewUI
原文链接:http://www.cnblogs.com/landesk/p/11212704.html
版权

猫宁!!!

 

之前在360补天看过carry_your分享的46分钟短视频“任意用户密码重置的10种姿势”。

 

在京东SRC安全小课堂第89期,也有一篇他的文章:web漏洞之逻辑漏洞挖掘。内容朴实无华。

 

在freebuf上有一个任意密码重置的文章系列7篇不错:任意用户密码重置(作者:yangyangwithgnu)

 

下面根据真实测试场景对任意密码重置思路梳理一下:

 

1-短信验证码可以爆破

密码重置的时候,有些网站没有图形验证码,而且短信验证码是4位,可以0000-9999进行爆破。

如果限制频次,可以尝试频繁替换x-forwarded-for(如果有的话)中的源ip,可能会绕过频次限制。

如果对方是6位的短信验证码,而且图形验证码的有效期没有设定或者设定为24h之类,一样可以进行爆破,只是时间成本略高。

如果对方设置了图形验证码,需要测试一下对方的图形验证码是不是真的有效,有些是前端都是失效的,有些是后端失效的,均可以重复利用实现爆破。

有的图形验证码就是一个摆设,你抓包把它给删除也是没有什么问题的,因为服务器也不会校验它存在与否。

如果对方在校验时存在逻辑错误,首先校验短信验证码的正确性,然后校验图形验证码的正确性,那图形验证码同样无效,即使是一次性的,也不行。

 

2-短信验证码出现在返回包

短信验证码可能出现在返回包中(不一定必须是响应体中),也有可能出现在前端展示界面(遇到过不止1次),也可以出现在下一次请求中的cookie中。发送给你邮箱的重置密码链接出现在返回包中也可以有用(注意location处)。

 

3-短信验证码不随机

短信验证码当天有效,假如当天是0000,第二天变成了0005,第三天变成0010,如果这种情况出现在注册接口,可以质疑对方自己可能在任意注册数据造假。这种有点少见。

 

4-不校验手机号和短信验证码有没有绑定

获取短信验证码,提交post参数的时候,将手机号替换为自己的,拿到真实验证码,再重新替换为别人的就好,成功进入下一步。这里有一点说明,你的手机号有时候也要是注册手机号才行,有时候不是也可以。

部分网站输入用户名(假如你不知道对方手机号)就可以获取短信验证码,获取的时候,抓包将手机号改为自己的,获取验证码之后,提交进入下一步。

 

5-绕过前端验证

这种情况还是挺多见,输入别人的手机号,获取短信验证码,由于不知道对方的短信详情,尝试输入123456,点击下一步,一般都是报错,可以抓包获取响应体的内容,例如修改false为true,修改404为200。最好是自己注册账户走一遍忘记密码流程,记录下成功时的响应体是什么样的,直接替换对方的报错,如果幸运,直接下一步。有的时候,虽然对方提示重置失败,事实上可能已经成功。

 

6-跳跃式验证

例如重置密码中的第一步url关键词时resetpwd1,进入下一步是resetpwd2,最后一步是resetpwd3,在输入手机号获取了对方的短信验证码之后,修改url中的关键词直接进入最后的密码重置界面,因为你的session id没有变化,服务器认为还是一个人在操作,但是没有校验你有没有提交获取到的短信。绕过前端验证也是一个选择。

 

7-重置密码最后一步修改用户id

很多时候,用户都有自己对应的id,重置密码时如果出现有userid,可以考虑替换这个id数值,从而实现修改对方密码的目的,甚至可以进行批量重置。如果没有id,但是有用户名,一样可以去修改,尝试进行重置。

 

8-替换cookie值

使用自己的账户进行密码重置,进行到最后一步的时候抓包中断。使用对方的账户进行第一步获取短信验证码的操作,复制出对方的cookie,并粘贴到自己账户测试时的cookie请求头中,可能会实现重置对方密码的操作。

 

9-token规律可循

重置密码的链接中有时会有token等的校验凭证,一般都会进行编码,也许时md5,也许是base64等等,可以尝试解码之后,多次比较token的规律(如果不是随机的话),发现其内容的构成,爆破是一个选择。也有可能这个token根本就不变或者每次递增1。

 

10-密码重置凭证长期有效

邮箱重置的链接,在你完成重置之后3天啦,还是有效;短信验证码可以被反复使用。

 

任意密码重置的危害大小除了看业务的重要性,能否实现最大化的重置,是个关键点。如果网站或者app存在注册用户批量猜解,那么你就可以找到更多的账号进行重置,显然比只是简单的重置要有效果。如果可以通过userid进行批量密码重置,那么可以说是威力惊人。

 

上述方法不一定是单独成行,也可以结合使用,同时除了针对忘记密码功能点,在账户注册,账户登录以及后台系统的测试中均可以提供一些思路。

 

除了一般的任意密码重置,csrf在密码重置或修改的地方,一样可以重置对方的密码,xss漏洞获取对方cookie之后,进入后台,也有机会修改别人密码,毕竟对方的cookie不一定长期有效。这些也都算是任意密码重置的范畴。

 

转载于:https://www.cnblogs.com/landesk/p/11212704.html

weixin_30339969
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
任意用户密码重置的10种姿势
weixin_30878501的博客
08-07 422
以前安全测试最爱挖的就是任意用户密码重置,今天看了carry_your师傅在ichunqiu上的视频文字总结一下任意用户密码重置的10种姿势: 1,短信验证码可爆破; 视频案例中输入手机号码、图片验证码就可以获取短信验证码,并且新密码也是在一个页面中,但是输入短信验证码之后,后端有个请求会判断短信验证码是否正确,错误的话页面会有提醒。攻击者可以用这个请求来爆破验证码,获取到正确的短信验证码之后...
逻辑漏洞之任意用户重置密码(十六种)
weixin_30314793的博客
09-10 537
在freebuf上看到了一个关于任意用户重置密码的系列文章,感觉挺不错了,算得是上比较全得了,年初就看过,今天突然发现他出了新的文章,这里记录一下。 原网址:http://www.freebuf.com/articles/web/160883.html。 之所以写这篇文章主要是想总结一下这块的问题,之前不够体系,测试得时候有时候会忘记一两点不测试,这次站在巨人身上总结下别人知识的同时加一...
安全测试===任意用户密码重置的10种常见姿势
weixin_33694172的博客
03-20 253
https://www.ichunqiu.com/course/59045 http://www.freebuf.com/articles/web/164510.html http://www.freebuf.com/articles/web/160883.html http://www.freebuf.com/articles/database/161495.html http:/...
逻辑漏洞之任意密码重置
秋水的博客
09-15 3661
漏洞简介 什么是密码重置? 顾名思义,就是修改掉原来的密码 密码重置的途径有哪些? 1、一个网站,一般我们可以登录进入个人中心,直接修改密码 2、当我们忘记密码是还可以使用系统自带的密码找回功能进行密码修改 什么是密码重置漏洞? 密码重置这个功能本身没有问题,但如过对密码重置功能的验证机制不够完善就形成了漏洞 密码重置漏洞形式 一、基于修改密码的 如果后台没有对旧密...
web渗透测试----22、业务逻辑漏洞--(2)任意用户密码重置
七天
11-05 3660
业务逻辑漏洞----任意用户密码重置
DeDecms任意用户登录,管理员密码重置漏洞
鸥鹭忘机
07-28 3723
基本信息 漏洞编号:SSV-97087 实验版本:dedecms v5.7SP2 下载地址:http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz 参考文章:https://www.seebug.org/vuldb/ssvid-97074 前置知识 如果要把一个key存储到cookie中,织梦的存储方式是把key和加密key同时存储在cookie中。每次读取用户传来的key时,将key进行加密后与传来的加密k
无效的过程调用或参数_挖洞经验 | 篡改密码重置的加密参数实现账号劫持研究...
weixin_39615402的博客
12-10 106
想必大家都对参数篡改攻击有所了解,今天作者分享的是对RSA加密参数的篡改从而实现账号劫持的简单测试,漏洞原因在于Web应用在客户端缺乏安全的防护机制。一起来看看。出于保密,目标Web应用暂且叫它为target.com,在接触该目标时,经测试发现,其上所有的参数操作都是加密传输的,在Burp的抓配合下,可见其大概的加密形式如下:userName=8cfe39943d6e08e505531...
逻辑漏洞之任意密码重置漏洞
qq_43936524的博客
02-20 1734
看了大佬的七篇文章总结一下密码重置的种类和挖掘思路。 任意密码重置漏洞 重要凭证泄露 重要凭证客户端可篡改 用户混淆 重要凭证未校验 重要凭证可爆破 应答中存在影响后续逻辑的状态参数 Token可预测 ...
业务安全-任意用户密码重置姿势总结
江湖
07-21 979
       随着网络安全发展到目前,最初最常见的注入、跨站、上传等Web安全问题基本得到大多数人的重视,目前常见的web扫描器也基本都能发现,业务安全却却日益成为网络安全的重要风险来源,而且各种逻辑问题也出现的五花八门。        登录密码作为业务安全的第一道入口,是业务安全问题最高发的地方之一。本文把日常渗透及CTF见过的安全案例总结一下,希望能够尽可能全面的把关于重置用户密码姿势作...
前端技术学习记录-基础知识(二)JavaScript基本语法
adanjeep的博客
07-11 191
/ 声明一个String类型的变量name name = "Alice";// 初始化变量name int age;// 声明一个int类型的变量age age = 25;// 初始化变量age。静态强类型:Java语言,在申明变量时,需要明确定于变量的类型。对明确申明的变量,需要做强制转换,才会发生变化,否则不变。//数字 a = "hahaha";//字符串 </script>动态弱类型语言:变量可以存放在不同类型的值(动态)=== 比较相等(不会进行隐式类型转换)>>> 无符号右移(逻辑右移)
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 255
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 194
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
vue实现预览编辑ppt、word、pdf、excel、等功能的解决方案(内网-前端
m0_68271787的博客
07-10 785
在Vue中实现预览和编辑PPT、Word、PDF、Excel等文件的功能,尤其是在内网环境下且主要侧重于前端,我们需要明确的是,直接在前端编辑这些格式的文件(特别是PPT和Word)是非常复杂且通常不推荐的,因为这些格式涉及复杂的布局和格式设置。然而,我们可以实现预览功能,并可能通过一些间接方式支持简单的编辑(如表格数据的修改)。下面我将分别给出预览PPT、Word、PDF、Excel文件的Vue组件示例代码,并简要说明如何可能实现简单的编辑功能。
Javafx利用fxml变换场景的小细节
2301_80311013的博客
07-09 886
在这个代码中,在JavaFX中,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程中,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程中,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
【vueUse库Reactivity模块各函数简介及使用方法--下篇】
xiejunlan的博客
07-11 1389
vueUseReactivity函数构想中的refWithControl函数可能的实现方式总结2. syncRef构想中的syncRef函数可能的实现方式注意事项总结3.syncRefs构想中的syncRefs函数可能的实现方式注意事项总结假想的toReactive函数注意事项假设的toReactive函数实现结论5.toReftoRef函数介绍使用方法示例代码总结6.toRefstoRefs函数介绍使用方法示例代码总结7.toValue使用 Vue 3 自身的 API示例使用 vueUse 的类似功能。
ReactRouter v6升级的步骤
feixin369的博客
07-14 173
React Router v6 引入了一个 Routes组件,它有点像Switch,但功能要强大得多。与Switch相比,RoutesReact.lazy。
this指向解析
最新发布
Zrf2191318455的博客
07-14 210
2.3:调用构造函数personA中的show2函数,为箭头函数,指向外层最近的普通函数的this,在第一题中,person1只是一个对象,所以指向windows,但是在第二题中,personA为构造函数,show2指向的就是personA,所以依旧打印personA。1.8:调用person1中的show4函数,并再次调用返回函数,show4为普通函数,返回函数为箭头函数,箭头函数的this指向为外面最近一层普通函数的this,即show4的this,因此打印person1。
前端工具-json-server
zhangankang的博客
07-14 66
以项目为例,介绍前端mock数据的方式;
Webkit简介以及工作流程
读心悦
07-10 322
WebKit是一个开源的浏览器引擎,最初由苹果公司基于KHTML(K Desktop Environment的HTML渲染引擎)开发,并广泛应用于Safari浏览器。随着时间的推移,WebKit也被其他多款浏览器和应用所采用,成为Web技术生态中的重要一员。WebKit的核心功能括解析HTML、CSS、JavaScript等网页内容,并将其渲染为可视化的网页页面。它主要由WebCore(负责HTML解析、CSS样式计算和布局)和JavaScriptCore(负责JavaScript解释执行)两大部分组成。
Power Apps使用oData访问表数据并赋值前端
weixin_41850878的博客
07-14 50
console.log需要F12打开浏览器开发者工具查看。方法过滤数据时,你可以指定一个OData。方法成功的例子,它使用了OData。在使用OData查询语法通过。参数来限制返回的记录集。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值