密碼修改功能常採用分步驟方式來實現,攻擊者在未知原始密碼的情況下繞過某些檢驗步驟修改使用者密碼。
重置密碼過程一般是首先驗證註冊的郵箱或者手機號,獲取重置密碼的鏈結(一般會包含一串唯一的字串)或者驗證碼,然後訪問重置密碼鏈結或者輸入驗證碼,最後輸入新密碼。密碼重置機制繞過攻擊是指在未知他人的重置密碼鏈結或手機驗證碼的情況下,通過構造重置密碼鏈結或窮舉手機驗證碼的方式直接重置他人的密碼。
惡意攻擊者可以利用漏洞攻擊做到:
重置他人的密碼;
利用他人的賬號和密碼進行惡意操作,如偷取金錢、獲取使用者的個人資料等。
一次性填寫校驗資訊(原始密碼、新密碼等)後再提交修改密碼請求。
對客戶端提交的修改密碼請求,應對請求的使用者身份與當前登入的使用者身份進行校驗,判斷是否有權修改使用者的密碼並對原始密碼是否正確也進行判斷。
不應將用於接收驗證資訊的手機、郵箱等資訊全部明文傳到客戶端,應對手機、郵箱等資訊進行遮蔽處理,或不將此類資訊返回到客戶端。
對原始密碼進行了驗證的情況下,限制輸入原始密碼的錯誤次數,防止攻擊者暴力破解原始密碼。
重置密碼鏈結中的關鍵資訊應隨機化,不可**(例如token機制),且禁止將關鍵資訊返回到客戶端。
如果是使用第三方的庫,請參考第三方的安全配置。
如果是自研**,請按照修復思路對**進行調整。
3322網域名稱重置任意使用者密碼的漏洞
3322網域名稱找回密碼時可以重置任意使用者的密碼。找回密碼功能傳送到email中的驗證碼和cookie中的乙個值繫結,未和需要找回的使用者名稱繫結,導致可用a郵箱中的驗證碼,驗證找回任意使用者。找回密碼時看了下,出現如圖這麼乙個token,直覺告訴我,這個發過去的驗證碼和cookie繫結了 於是,...
愛康國賓任意賬戶密碼重置漏洞及修復
目前來說由於某些問題,這個密碼重置漏洞不會影響任何使用者,不過這個問題客觀來說還是個高危啊,早發現早修補啊。1 註冊位置,只需要使用者名稱和密碼就可以註冊了。2 那麼直接就可以修改使用者名稱重複請求達到暴力註冊的目的。3 這裡註冊了50個帳號作為演示,帳號 px16241 至 px162450 密碼...
豬八戒任意使用者密碼重置漏洞
登陸時,點忘記密碼來到密碼找回頁面.code 區域 選擇郵箱或者手機號找回,這裡拿手機號測試先.點下一步,系統會傳送乙個6位數字驗證碼到使用者手機,這裡隨便填乙個,並且抓包.對ticket引數進行暴力破解,得到真實驗證碼輸入即可重置密碼.其中可能出現的問題 如果嚴重碼破解出來了但又超過了驗證碼有效時...