HackerOne | 由Token泄露引發的嚴重漏洞

漏洞信息

發現者：Alex Birsan 漏洞種類：信息泄露危害等級：嚴重漏洞狀態：已修復

前言

Alex Birsan發現了Recaptcha實現所使用JS文件的token身份憑證信息。藉助XSS攻擊獲取其他用戶的token身份憑證，當用戶訪問其惡意登錄鏈接輸入憑證後，便會觸發身份驗證獲取到用戶密碼。

漏洞再現

Alex Birsan在網站登錄表單中，發現了一個javascript文件，裏面似乎包含了CSRF token和session ID信息。

然後通過一些簡單且快速的測試，利用xss漏洞攻擊，可以獲取受害者有效的身份憑證。

然而，好的攻擊方式取決於你對它的攻擊利用。所以我不僅僅只是滿足於這樣，決定從_csrf和_sessionID參數內容，看看它們是否能夠進行實際情況利用。然後我進行了大量的測試，不斷地將_csrf和_sessionID參數進行替換。很遺憾，還是沒有能夠成功進行繞過攻擊。

而後我重新返回我們的測試語句，發現PayPal原來存在這驗證機制用來防止暴力破解攻擊。

而我繼續進行深究看見，我們如果進行了暴力破解後，網站就會返回一個身份驗證的頁面，其中就包含上述的Goole驗證碼，當用戶成功輸入驗證碼後，則會對/auth/validatacaptcha頁面進行POST請求。

而之後返回的信息當中，包含着自動提交表單，裏面有用戶登錄請求的所有參數（包括電子郵件和純文本密碼）。

可以利用這種手段，構造新的登錄請求，獲取reCAPTCHA參數令牌，對/auth/validatacaptcha進行檢索數據，並將其顯示在頁面上。

漏洞影響

獲取用戶郵箱帳號和密碼等敏感信息。