HackerOne | 由Token泄露引發的嚴重漏洞

  • 2020 年 3 月 17 日
  • 筆記

漏洞資訊

發現者:Alex Birsan 漏洞種類:資訊泄露 危害等級:嚴重 漏洞狀態:已修復

前 言

Alex Birsan發現了Recaptcha實現所使用JS文件的token身份憑證資訊。藉助XSS攻擊獲取其他用戶的token身份憑證,當用戶訪問其惡意登錄鏈接輸入憑證後,便會觸發身份驗證獲取到用戶密碼。

漏洞再現

Alex Birsan在網站登錄表單中,發現了一個javascript文件,裡面似乎包含了CSRF token和session ID資訊。

然後通過一些簡單且快速的測試,利用xss漏洞攻擊,可以獲取受害者有效的身份憑證。

然而,好的攻擊方式取決於你對它的攻擊利用。所以我不僅僅只是滿足於這樣,決定從_csrf和_sessionID參數內容,看看它們是否能夠進行實際情況利用。 然後我進行了大量的測試,不斷地將_csrf和_sessionID參數進行替換。很遺憾,還是沒有能夠成功進行繞過攻擊。

而後我重新返回我們的測試語句,發現PayPal原來存在這驗證機制用來防止暴力破解攻擊。

而我繼續進行深究看見,我們如果進行了暴力破解後,網站就會返回一個身份驗證的頁面,其中就包含上述的Goole驗證碼,當用戶成功輸入驗證碼後,則會對/auth/validatacaptcha頁面進行POST請求。

而之後返回的資訊當中,包含著自動提交表單,裡面有用戶登錄請求的所有參數(包括電子郵件和純文本密碼)。

可以利用這種手段,構造新的登錄請求,獲取reCAPTCHA參數令牌,對/auth/validatacaptcha進行檢索數據,並將其顯示在頁面上。

漏洞影響

獲取用戶郵箱帳號和密碼等敏感資訊。