绕过雷蛇官网的动态验证码
大家好,我是@dhakal_ananda,來自尼泊爾,這是我在Hackerone上參加的雷蛇漏洞懸賞項目的一部分。一開始這個漏洞懸賞項目是一個非公開項目,我接到邀請后并沒有參加;后來它變成了公開項目,我反而對它起了興趣。
在挖掘漏洞時,我更喜歡繞過各種安全功能(例如二次驗證),而不是挖掘普通的XSS和SQL漏洞,于是我很快開始嘗試繞過動態(tài)密碼,因為它在你每次執(zhí)行敏感操作時都會出現(xiàn)。
在進行了幾次測試后,我發(fā)現(xiàn)目標(biāo)應(yīng)用會使用一個很長的令牌來標(biāo)記是否輸入了動態(tài)密碼。只有輸入有效的動態(tài)密碼,才提供令牌。
那么我們能做些什么來繞過動態(tài)密碼亦或是令牌的限制呢?我很快就想到,不同用戶之間的令牌是否能通用?于是我進行了簡單的嘗試,發(fā)現(xiàn)確實有效。
復(fù)現(xiàn)步驟
登錄攻擊者的賬戶
轉(zhuǎn)到[https://razerid.razer.com/account](https://razerid.razer.com/account),修改電子郵件地址
你將看到彈出一個對話框,提示需要輸入動態(tài)密碼
輸入有效動態(tài)密碼,再用BurpSuite攔截住更改電子郵件的最后請求
將請求發(fā)送到BurpSuite的Repeater中
此時登錄受害者帳戶(假設(shè)你有受害者帳戶密碼)
更改名稱,攔截住相關(guān)請求
復(fù)制請求中的user_id和user_token,將其保存到文件中
轉(zhuǎn)到BurpSuite攔截的攻擊帳戶更改電子郵件的請求中,將該請求中的user_id和user_token替換為受害者帳戶的user_id和user_token(user_token和動態(tài)密碼產(chǎn)生的令牌并不一樣)
最后提交修改后的請求,查看受害者帳戶綁定的電子郵件地址是否為攻擊者所控制的電子郵件地址。
需要說明的是,在和雷蛇官網(wǎng)交互的過程中,和身份驗證有關(guān)的有三個字段,它分別為user_id、user_token和OTP_token。其中OTP_token只有在輸入動態(tài)密碼的情況下才能獲得。而雷蛇網(wǎng)站缺乏對令牌OTP_token的身份控制,只是驗證了其有效性,導(dǎo)致所有的帳戶都能利用同一個帳戶的OTP_token繞過動態(tài)密碼驗證。
我把報告寫的很詳細,提交給雷蛇,但雷蛇的審核人員居然認為這個漏洞需要物理接觸受害者的機器才能進行?
在經(jīng)過長時間的扯皮后,雷蛇表示,他們提供一個測試帳號,如果我能更改帳號綁定的電子郵件地址,就認同我的漏洞。
很快,我就把這個帳號和我的電子郵件地址綁定在一起。雷蛇最后也給了我1000美元的漏洞獎勵。
在這次經(jīng)歷后,我又找到了另一個動態(tài)密碼繞過漏洞,在雷蛇修復(fù)后將會對外公開。
本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場:https://nosec.org/home/detail/3056.html 來源:https://medium.com/@anandadhakal13/how-i-was-able-to-bypass-otp-token-requirement-in-razer-the-story-of-a-critical-bug-fc63a94ad572總結(jié)
以上是生活随笔為你收集整理的绕过雷蛇官网的动态验证码的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 6300刷机过程
- 下一篇: 电脑报2013年第6期