邏輯漏洞之密碼重置

密碼找回驗證條件可社工

1 只驗證帳號是否存在即可修改密碼

2 只驗證帳號與郵箱地址是否匹配即可修改密碼

3 只驗證帳號與手機號是否匹配即可修改密碼

密碼修改頁面可預測

案例介紹： 問題出現在忘記密碼處，可以通過手機找回和郵箱找回密碼兩種方式獲得指定帳戶的新密碼設定許可權

進入忘記密碼，填寫想要獲取許可權帳號的ID

獲得url

選擇郵箱找回

獲得url:

系統已將新密碼設定url傳送給郵箱

此時只需要將前面獲取的url修改一下

即可獲得設定該使用者新密碼的許可權

驗證碼可爆破

案例介紹

樂峰網使用者認證體系存在邏輯漏洞，可修改任意使用者密碼

1 找回密碼部分：兩種方式，mail和phone，但是驗證碼都是6位數字，（郵箱）是24小時有效。可以暴力

2 使用後的驗證碼並未銷燬，24小時內可以再次使用，這裡就很危險了，只要你找回了密碼，24小時內，還可以被修改

攻擊方式：

1 提交任意使用者的修改密碼請求，暴力破解驗證碼（6位數字，24小時內有效），成功率很客觀

2 列舉24小時之內修改過密碼的使用者，如圖：

修改密碼未校驗使用者

案例介紹

萬網某管理系統密碼找回結構控制不嚴格,導致可修改此管理系統任意賬戶密碼。

自己新買一個域名要做備案,可惜申請時密碼忘記了,故找回密碼,收到找回郵件連結如下:

按照提示修改自己密碼成功。。

職業病原因,順手將url中郵箱地址替換成admin@hichina.com修改,悲劇,修改成功。。。

如圖:

也就是說,只要知道確實存在的賬戶,即可直接修改該帳號密碼。

密碼重置驗證碼接收帳號由客戶端決定

案例介紹

任意使用者密碼重置（遍歷可批量操作）

重置使用者資金密碼，修改成自己郵箱

重置資金密碼成功

修改返回包繞過驗證碼找回密碼

案例介紹

P2P金融安全之珠寶貸存在找回密碼/關鍵憑證修改邏輯漏洞

提交修改密碼申請，填寫手機號，圖片驗證碼以及登入密碼如圖：

用burp截包，點選提交：

返回包如圖：

修改返回包如圖：

繞過驗證出現修改密碼介面：

重置密碼新密碼出現在返回的資料包中

案例介紹

沃的城市生活IOS邏輯漏洞可重置登入任意號碼

1 點選重置密碼

2 重置後的新密碼返回在資料回包中

密碼重置驗證碼出現在返回資料包中

案例介紹

中糧集團中糧悅生活app（在蘋果appstore下載的，安卓未測試）在修改密碼時存在邏輯漏洞，可直接通過伺服器返回的資料包獲取驗證碼，從而註冊任意手機號碼和修改任意使用者的密碼。

1 填寫電話號碼

2 設定代理，抓包，點選獲取驗證碼，檢視資料包

3 填寫驗證碼，成功修改密碼

密碼重置驗證碼多人公用

案例說明

天天果園賬戶邏輯漏洞，自己的驗證碼修改別人的密碼

1 登入網站點選 找回密碼 輸入自己的帳號，點選下一步。

2 在同一網頁標籤開啟另一網頁，找回密碼，輸入目標帳號，點選下一步。

3 自己的帳號頁面點選獲取驗證碼。

4 將自己收到的驗證碼輸入目標帳號驗證碼處，點選下一步。

5 完成，密碼重置。

修復方案

1 減少驗證碼有效時間

2 使用後即銷燬

3 增加驗證碼複雜程式，整個md5 不困難吧，

4 限制該功能單個ip提交頻率

5 對重要引數加入驗證碼同步資訊或時間戳；

6 重置密碼後，新密碼不應返回在資料包中。

7 接收驗證碼的帳號由服務端提供，不能信任客戶端提交的資料