Zurücksetzen/vergessenes Passwort umgehen

Reading time: 7 minutes

Leck des Passwort-Zurücksetzen-Tokens über den Referrer

• Der HTTP-Referer-Header kann das Passwort-Zurücksetzen-Token leaken, wenn es in der URL enthalten ist. Dies kann auftreten, wenn ein Benutzer auf einen Link einer Drittanbieter-Website klickt, nachdem er eine Passwortzurücksetzung angefordert hat.
• Auswirkungen: Potenzieller Kontoübernahme durch Cross-Site Request Forgery (CSRF)-Angriffe.
• Ausnutzung: Um zu überprüfen, ob ein Passwort-Zurücksetzen-Token im Referer-Header geleakt wird, fordern Sie eine Passwortzurücksetzung an Ihre E-Mail-Adresse an und klicken Sie auf den bereitgestellten Zurücksetzen-Link. Ändern Sie Ihr Passwort nicht sofort. Stattdessen navigieren Sie zu einer Drittanbieter-Website (wie Facebook oder Twitter), während Sie die Anfragen mit Burp Suite abfangen. Überprüfen Sie die Anfragen, um zu sehen, ob der Referer-Header das Passwort-Zurücksetzen-Token enthält, da dies sensible Informationen an Dritte offenlegen könnte.
• Referenzen:
• HackerOne Report 342693
• HackerOne Report 272379
• Artikel über das Leck des Passwort-Zurücksetzen-Tokens

Passwort-Zurücksetzen-Vergiftung

• Angreifer können den Host-Header während der Passwort-Zurücksetzanforderungen manipulieren, um den Zurücksetzen-Link auf eine bösartige Seite zu verweisen.
• Auswirkungen: Führt zu potenzieller Kontoübernahme durch das Leaken von Zurücksetzen-Token an Angreifer.
• Minderungsmaßnahmen:
• Validieren Sie den Host-Header gegen eine Whitelist erlaubter Domains.
• Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.
• Patch: Verwenden Sie $_SERVER['SERVER_NAME'], um Passwort-Zurücksetzen-URLs zu konstruieren, anstatt $_SERVER['HTTP_HOST'].
• Referenzen:
• Acunetix-Artikel über Passwort-Zurücksetzen-Vergiftung

Passwort-Zurücksetzen durch Manipulation des E-Mail-Parameters

Angreifer können die Passwort-Zurücksetzanforderung manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Zurücksetzen-Link umzuleiten.

• Fügen Sie die E-Mail des Angreifers als zweiten Parameter mit & hinzu.

POST /resetPassword
[...]
email=victim@email.com&email=attacker@email.com

• Fügen Sie die Angreifer-E-Mail als zweiten Parameter mit %20 hinzu

POST /resetPassword
[...]
email=victim@email.com%20email=attacker@email.com

• Fügen Sie die Angreifer-E-Mail als zweiten Parameter mit | hinzu

POST /resetPassword
[...]
email=victim@email.com|email=attacker@email.com

• Fügen Sie die E-Mail des Angreifers als zweiten Parameter mit cc hinzu

POST /resetPassword
[...]
email="victim@mail.tld%0a%0dcc:attacker@mail.tld"

• Fügen Sie die E-Mail des Angreifers als zweiten Parameter unter Verwendung von BCC hinzu

POST /resetPassword
[...]
email="victim@mail.tld%0a%0dbcc:attacker@mail.tld"

• Fügen Sie die Angreifer-E-Mail als zweiten Parameter mit , hinzu.

POST /resetPassword
[...]
email="victim@mail.tld",email="attacker@mail.tld"

• Fügen Sie die E-Mail des Angreifers als zweiten Parameter im JSON-Array hinzu.

POST /resetPassword
[...]
{"email":["victim@mail.tld","atracker@mail.tld"]}

• Minderungsmaßnahmen:
• E-Mail-Parameter serverseitig korrekt analysieren und validieren.
• Verwenden Sie vorbereitete Anweisungen oder parametrisierte Abfragen, um Injektionsangriffe zu verhindern.
• Referenzen:
• https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be
• https://ninadmathpati.com/2019/08/17/how-i-was-able-to-earn-1000-with-just-10-minutes-of-bug-bounty/
• https://twitter.com/HusseiN98D/status/1254888748216655872

Ändern der E-Mail und des Passworts eines beliebigen Benutzers über API-Parameter

• Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um die Kontodaten zu ändern.

POST /api/changepass
[...]
("form": {"email":"victim@email.tld","password":"12345678"})

• Minderungsmaßnahmen:
• Stellen Sie strenge Parameterüberprüfungen und Authentifizierungsprüfungen sicher.
• Implementieren Sie robuste Protokollierung und Überwachung, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
• Referenz:
• Vollständige Kontoübernahme über API-Parameter-Manipulation

Keine Ratenbegrenzung: E-Mail-Bombardierung

• Mangelnde Ratenbegrenzung bei Passwortzurücksetzanforderungen kann zu E-Mail-Bombardierung führen, wodurch der Benutzer mit Rücksetz-E-Mails überflutet wird.
• Minderungsmaßnahmen:
• Implementieren Sie eine Ratenbegrenzung basierend auf der IP-Adresse oder dem Benutzerkonto.
• Verwenden Sie CAPTCHA-Herausforderungen, um automatisierten Missbrauch zu verhindern.
• Referenzen:
• HackerOne Bericht 280534

Herausfinden, wie das Passwort-Zurücksetz-Token generiert wird

• Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder brute-forced werden. Einige Optionen:
• Basierend auf Zeitstempel
• Basierend auf der Benutzer-ID
• Basierend auf der E-Mail des Benutzers
• Basierend auf Vorname und Nachname
• Basierend auf Geburtsdatum
• Basierend auf Kryptographie
• Minderungsmaßnahmen:
• Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
• Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersehbarkeit zu verhindern.
• Werkzeuge: Verwenden Sie Burp Sequencer, um die Zufälligkeit von Tokens zu analysieren.

Erratbare UUID

• Wenn UUIDs (Version 1) erratbar oder vorhersehbar sind, können Angreifer sie brute-forcen, um gültige Rücksetz-Token zu generieren. Überprüfen Sie:

UUID Insecurities

• Minderungsmaßnahmen:
• Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
• Werkzeuge: Verwenden Sie guidtool zur Analyse und Generierung von GUIDs.

Antwortmanipulation: Schlechte Antwort durch gute ersetzen

• Manipulation von HTTP-Antworten, um Fehlermeldungen oder Einschränkungen zu umgehen.
• Minderungsmaßnahmen:
• Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antworten sicherzustellen.
• Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.
• Referenz:
• Kritischer Fehler bei Live-Bug-Bounty-Event

Verwendung eines abgelaufenen Tokens

• Überprüfen, ob abgelaufene Tokens weiterhin für das Zurücksetzen des Passworts verwendet werden können.
• Minderungsmaßnahmen:
• Implementieren Sie strenge Token-Ablaufrichtlinien und validieren Sie das Token-Ablaufdatum serverseitig.

Brute-Force-Passwort-Zurücksetz-Token

• Versuch, das Rücksetz-Token mit Tools wie Burpsuite und IP-Rotator zu brute-forcen, um IP-basierte Ratenlimits zu umgehen.
• Minderungsmaßnahmen:
• Implementieren Sie robuste Ratenbegrenzungs- und Kontosperrmechanismen.
• Überwachen Sie verdächtige Aktivitäten, die auf Brute-Force-Angriffe hindeuten.

Versuchen Sie, Ihr Token zu verwenden

• Überprüfen, ob das Rücksetz-Token eines Angreifers in Verbindung mit der E-Mail des Opfers verwendet werden kann.
• Minderungsmaßnahmen:
• Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.

Sitzungsinvalidierung bei Abmeldung/Passwortzurücksetzung

• Sicherstellen, dass Sitzungen ungültig werden, wenn sich ein Benutzer abmeldet oder sein Passwort zurücksetzt.
• Minderungsmaßnahmen:
• Implementieren Sie ein angemessenes Sitzungsmanagement, um sicherzustellen, dass alle Sitzungen bei Abmeldung oder Passwortzurücksetzung ungültig werden.

Sitzungsinvalidierung bei Abmeldung/Passwortzurücksetzung

• Rücksetz-Token sollten eine Ablaufzeit haben, nach der sie ungültig werden.
• Minderungsmaßnahmen:
• Setzen Sie eine angemessene Ablaufzeit für Rücksetz-Token fest und setzen Sie diese serverseitig strikt durch.

Referenzen

• https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token