当前位置:WooYun(白帽子技术社区) >> 验证码 >> 密码找回功能绕过

密码找回功能绕过

king | 2012-06-16 14:33

最近乌云爆了很多密码找回功能缺陷,自己在前端时间刚好也研究到这个功能的缺陷,今天跟大家一起分享下这个机制问题
首先我们应该了解找回密码功能一般的方式
很多web中找回密码只需填写注册账号和邮箱,有些只填写账号(这就让黑客有机可乘了),只要符合账号存在,邮箱绑定账号确认邮箱,就会向服务器发送这个功能激活,为了用户更好的体验和简单操作,web中可能大多数会 只要点击这个邮件里的链接就会到密码修改那个功能上。

这里就出现一个问题:
邮件链接的地址 是不是有规律性(可以按照类似方式构造)或者验证的标准是不是合理
在很多的web中考虑安全性会加入一个随机码,和用户名一起插入到数据库,所以可以再这个随机码上做文章,有些web中,会以服务器的时间做随机码

修复方案:随机码应该做成不容易发掘,或者加密窜采用动态密钥加密(这样就是别人知道这个随机码的规则也计算不出验证码的值就无法构造 )

分享到:
20 个回复
  1. 1#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-06-16 15:01

    thanks for share

  2. 2#
    回复此人 感谢
    king | 2012-06-16 15:20

    考虑到此漏洞带来的危害性,,管理员能不能暂时关闭这个漏洞的说明!!

  3. 3#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-06-16 16:34

    什么问题说明?

  4. 4#
    回复此人 感谢
    horseluke (微碌) | 2012-06-16 16:50

    不知道这样理解对不对。出现找密码的漏洞有可能是以下其一或者组合:
    (1)事前验证不足,能轻易绕过身份拥有合法性认证
    比如如LZ所说,只输入用户名就给发密码重置邮件,而没有检查发起重置请求的用户是否真的是他本人。
    (2)重置密码的验证token过于简单,容易被推算出来
    比如使用一个共有的属性,如unix timestamp等
    (3)重置密码的流程出现漏洞,可以被绕过
    如HDWiki出现的漏洞:www.wooyun.org/bugs/wooyun-2010-06052

    其实很好奇第二种情况,即如何推算出这个重置密码的验证token......

  5. 5#
    回复此人 感谢
    Moments (2) | 2012-06-16 20:15

    我之前随便发了个搜狐的,可以看酷壳的文章  http://coolshell.cn/articles/5353.html  
    关于怎么做web登录和设计密码找回功能

  6. 6#
    回复此人 感谢
    一刀终情 ((注意看时间,没乱哦!) ‫(1314520)) | 2012-06-18 09:33

    关注,喜欢这种逻辑上的

  7. 7#
    回复此人 感谢
    凤凰 (凤凰涅磐,浴火重生) | 2012-06-18 15:56

    @Moments 去年看到的,的确有借鉴意义

  8. 8#
    回复此人 感谢
    网络骑士 | 2012-07-11 11:33

    很多站的url确实是只验证UID+timestamp

  9. 9#
    回复此人 感谢
    her0ma | 2012-07-11 11:34

    有木有那位神牛研究一下百度的账号体系 之前有朋友说密码被改 没收到任何邮件短信 然后就看看了百度的,不知道能不能……

  10. 10#
    回复此人 感谢
    horseluke (微碌) | 2012-07-27 18:07

    Hotmail、AOL和Yahoo远程密码重置漏洞:
    http://www.freebuf.com/articles/5139.html

    表示难以置信...

  11. 11#
    回复此人 感谢
    Say (幻觉。) | 2012-07-27 19:27

    @her0ma 这个已经知道是什么问题了....百度的邮箱验证一直很喜感

  12. 12#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2012-07-27 19:31

    @horseluke 难以置信为什么还要信 哈哈

  13. 13#
    回复此人 感谢
    horseluke (微碌) | 2012-07-28 01:49

    @xsser 如果指派我修这类bug,我不知道是大笑(终于可以亲手过一遍原因了)还是大哭(天啊不知道又要协调多少部门)........

  14. 14#
    回复此人 感谢
    笨小孩 | 2012-12-13 10:48

    学习了,很好啊!

  15. 15#
    回复此人 感谢
    北洋贱队 | 2012-12-13 18:05

    @king 考虑到此漏洞带来的危害性,,管理员能不能暂时关闭这个漏洞的说明!!

    *********************************************************************
    笑了,就这个思路,很多人都知道,都实践过了,还让管理员关掉呢

  16. 16#
    回复此人 感谢
    Moments (2) | 2012-12-13 18:08

    不得不说  腾讯在这方面做的不错

  17. 17#
    回复此人 感谢
    pysolve (你说我是错的,那你最好能证明自己是对的。) | 2012-12-13 23:18

    重置密码的验证token一方面要做得足够不易猜测,另一方面要注意避免SQLi的问题,由于其一次使用即失效的特性所以会显得很隐蔽不易发现。

  18. 18#
    回复此人 感谢
    一刀终情 ((注意看时间,没乱哦!) ‫(1314520)) | 2012-12-14 08:34

    @pysolve 能给个例子么,确实没注意过,没见过~

  19. 19#
    回复此人 感谢
    Stranger (我注意你很久了......) | 2014-01-17 00:55

    一语点醒梦中人...

  20. 20#
    回复此人 感谢
    xsjswt | 2014-01-17 07:35

    @xsser share是动词还是名词,还是都可以

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容

  • 暂无

Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1