Reset/Forgotten Password Bypass
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking-Einblicke Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
Echtzeit-Hack-News Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden
Neueste Ankündigungen Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert
Treten Sie uns bei Discord und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!
Passwort-Reset-Token-Leak über Referrer
Der HTTP-Referer-Header kann das Passwort-Reset-Token preisgeben, wenn es in der URL enthalten ist. Dies kann passieren, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Website eines Drittanbieters klickt.
Auswirkungen: Potenzielle Übernahme des Kontos durch Cross-Site Request Forgery (CSRF)-Angriffe.
Referenzen:
Passwort-Reset-Vergiftung
Angreifer können den Host-Header während der Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website zu lenken.
Patch: Verwenden Sie
$_SERVER['SERVER_NAME']
, um Passwort-Reset-URLs zu erstellen, anstelle von$_SERVER['HTTP_HOST']
.Auswirkungen: Führt zu potenzieller Übernahme des Kontos, indem Reset-Tokens an Angreifer durchsickern.
Maßnahmen zur Abhilfe:
Validieren Sie den Host-Header gegen eine Whitelist erlaubter Domains.
Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.
Referenzen:
Passwort-Reset durch Manipulation des E-Mail-Parameters
Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
Maßnahmen zur Abhilfe:
Analysieren und validieren Sie E-Mail-Parameter ordnungsgemäß serverseitig.
Verwenden Sie vorbereitete Anweisungen oder parameterisierte Abfragen, um Injektionsangriffe zu verhindern.
Referenzen:
Ändern der E-Mail und des Passworts eines beliebigen Benutzers über API-Parameter
Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Kontozugangsdaten zu ändern.
Maßnahmen zur Abhilfe:
Stellen Sie eine strenge Parametervalidierung und Authentifizierungsprüfungen sicher.
Implementieren Sie robustes Logging und Monitoring, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
Referenz:
Keine Rate-Begrenzung: E-Mail-Bombardierung
Fehlende Rate-Begrenzung bei Passwort-Reset-Anfragen kann zu einer E-Mail-Bombardierung führen, bei der der Benutzer mit Reset-E-Mails überflutet wird.
Maßnahmen zur Abhilfe:
Implementieren Sie eine Rate-Begrenzung basierend auf der IP-Adresse oder dem Benutzerkonto.
Verwenden Sie CAPTCHA-Herausforderungen, um automatischen Missbrauch zu verhindern.
Referenzen:
Finden Sie heraus, wie das Passwort-Reset-Token generiert wird
Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force erzwungen werden.
Maßnahmen zur Abhilfe:
Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersagbarkeit zu verhindern.
Tools: Verwenden Sie Burp Sequencer, um die Zufälligkeit der Tokens zu analysieren.
Erratbare GUID
Wenn GUIDs (z. B. Version 1) erratbar oder vorhersagbar sind, können Angreifer versuchen, sie durch Brute-Force zu generieren, um gültige Reset-Tokens zu erhalten.
Maßnahmen zur Abhilfe:
Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
Tools: Verwenden Sie guidtool zur Analyse und Generierung von GUIDs.
Antwortmanipulation: Ersetzen einer schlechten Antwort durch eine gute
Manipulation von HTTP-Antworten, um Fehlermeldungen oder Einschränkungen zu umgehen.
Maßnahmen zur Abhilfe:
Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antwort sicherzustellen.
Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.
Referenz:
Verwendung eines abgelaufenen Tokens
Testen, ob abgelaufene Tokens immer noch für das Zurücksetzen des Passworts verwendet werden können.
Maßnahmen zur Abhilfe:
Implementieren Sie strenge Richtlinien für die Token-Verfallzeit und validieren Sie den Ablauf serverseitig.
Brute-Force-Passwort-Reset-Token
Versuch, das Reset-Token durch Brute-Force mit Tools wie Burpsuite und IP-Rotator zu erzwingen, um IP-basierte Rate-Limits zu umgehen.
Maßnahmen zur Abhilfe:
Implementieren Sie robuste Rate-Limiting- und Kontosperrenmechanismen.
Überwachen Sie verdächtige Aktivitäten, die auf Brute-Force-Angriffe hinweisen.
Versuchen Sie, Ihr Token zu verwenden
Testen, ob ein von einem Angreifer generiertes Reset-Token in Verbindung mit der E-Mail des Opfers verwendet werden kann.
Maßnahmen zur Abhilfe:
Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.
Sitzungsinvalidierung beim Ausloggen/Passwort-Reset
Stellen Sie sicher, dass Sitzungen ungültig werden, wenn ein Benutzer sich ausloggt oder sein Passwort zurücksetzt.
Maßnahmen zur Abhilfe:
Implementieren Sie eine ordnungsgemäße Sitzungsverwaltung und stellen Sie sicher, dass alle Sitzungen beim Ausloggen oder Passwort-Reset ungültig werden.
Sitzungsinvalidierung beim Ausloggen/Passwort-Reset
Reset-Tokens sollten eine Ablaufzeit haben, nach der sie ungültig werden.
Maßnahmen zur Abhilfe:
Legen Sie eine angemessene Ablaufzeit für Reset-Tokens fest und erzwingen Sie diese strikt serverseitig.
Referenzen
Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!
Hacking-Einblicke Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
Echtzeit-Hack-News Bleiben Sie mit den schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden
Neueste Ankündigungen Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert
Treten Sie uns bei auf Discord und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!
Last updated