主页 > 网络知识 > Mail.ru子域名网站的密码重置型账户劫持漏洞

Mail.ru子域名网站的密码重置型账户劫持漏洞

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

 

今年4月,由于某些原因我辞职在家,无聊之余就在Hackerone上学习。也就是这么几天,我参加了Hackerone的众测项目,发现了Mail.ru子域名网站cups.mail.ru的一个密码重置型账户劫持漏洞,有点意思,分享在此。

正常的密码重置应用流

当用户重置自己的密码时,他需要点击以下密码重置链接,并在其中填入自己的绑定邮箱:

https://cups.mail.ru/faq/restore-password/restore?step=1

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

当用户输入自己的绑定邮箱,点击提交之后,用户邮箱中就会收到mail.ru发送来的一次性OTP密码,同时,页面也会跳转到以下OTP输入验证链接:

 

https://cups.mail.ru/faq/restore-password/restore?step=3

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

 

在此,用户输入有效的OTP密码,并跳转到密码重置页面:

https://cups.mail.ru/faq/restore-password/restore?step=4

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

 

之后,用户就能成功重置密码,且会在重置请求中包含了以下内容:

{“password”:”password”,”email”:”user@gmail.com”,”code”:”onetimepassword”} 

对密码重置功能的利用

经测试分析,由于上述密码重置功能缺乏权限限制,因此,我可以用它来重置任意用户密码。首先,我访问以下密码重置链接:

https://cups.mail.ru/faq/restore-password/restore?step=4

其中的原始重置请求为:

{“password”:”password”,”email”:”user@gmail.com”,”code”:”onetimepassword”}

然后,我把该请求内容更改为以下受害者邮箱字段:

{“password”:”reset”, “email”: “victim@mail.ru”}

就像下图这样:

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

 

转发请求之后,页面就跳转到了以下这个提示重置成功的链接:

https://cups.mail.ru/faq/restore-password/restore?step=5

我被惊到了,这样也行?!之后,我尝试用受害者邮箱进行登录,但提示密码已被重置。我仔细观察,发现该重置成功提示页面中还存在一个提示:Now you can to come in on Cups!其中to come in为可点击按钮:

 

Mail.ru子域名网站的密码重置型账户劫持漏洞


点击之后,我就成功地进入到了受害者的Cups账户中了!

 

总结

不明白Mail.ru在后台的这种密码重置逻辑,但总的来说,其请求实现和点击to come in的功能中存在安全缺陷,需要做进一步的用户身份验证。漏洞上报后,收获了Mail.ru的$1500奖励:

 

Mail.ru子域名网站的密码重置型账户劫持漏洞

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!