Problema de autorización

Se debe intentar cambiar el correo electrónico de una cuenta, y se debe examinar el proceso de confirmación. Si se encuentra débil, el correo electrónico debe cambiarse por el del objetivo y luego confirmarse.

Problema de Normalización Unicode

1. La cuenta del objetivo victim@gmail.com

2. Se debe crear una cuenta utilizando Unicode por ejemplo: vićtim@gmail.com

Para más detalles, consulta el documento sobre Normalización Unicode:

unicode-normalization.md

Reutilización de Token de Restablecimiento

Si el sistema objetivo permite que el enlace de restablecimiento se reutilice, se deben realizar esfuerzos para encontrar más enlaces de restablecimiento utilizando herramientas como gau, wayback o scan.io.

Antes de la Toma de Control de Cuenta

1. Se debe utilizar el correo electrónico de la víctima para registrarse en la plataforma y se debe establecer una contraseña (se debe intentar confirmarla, aunque la falta de acceso a los correos electrónicos de la víctima podría hacer que esto sea imposible).

2. Se debe esperar a que la víctima se registre utilizando OAuth y confirme la cuenta.

3. Se espera que el registro regular se confirme, lo que permitirá acceder a la cuenta de la víctima.

Configuración incorrecta de CORS para la Toma de Control de Cuenta

Si la página contiene configuraciones incorrectas de CORS, es posible que se pueda robar información sensible del usuario para tomar el control de su cuenta o hacer que cambie la información de autenticación con el mismo propósito:

CSRF para la Toma de Control de Cuenta

Si la página es vulnerable a CSRF, es posible que se pueda hacer que el usuario modifique su contraseña, correo electrónico o autenticación para luego acceder a ella:

XSS para la Toma de Control de Cuenta

Si encuentras un XSS en la aplicación, es posible que puedas robar cookies, almacenamiento local o información de la página web que podría permitirte tomar el control de la cuenta:

Mismo Origen + Cookies

Si encuentras un XSS limitado o tomas el control de un subdominio, podrías jugar con las cookies (fijarlas, por ejemplo) para intentar comprometer la cuenta de la víctima:

Atacando el Mecanismo de Restablecimiento de Contraseña

Manipulación de Respuesta

Si la respuesta de autenticación se puede reducir a un simple booleano, intenta cambiar false por true y verifica si obtienes acceso.

OAuth para la Toma de Control de Cuenta

Inyección de Cabecera de Host

1. Se modifica la cabecera de Host al iniciar una solicitud de restablecimiento de contraseña.

2. Se altera la cabecera de proxy X-Forwarded-For a attacker.com.

3. Las cabeceras de Host, Referrer y Origin se cambian simultáneamente a attacker.com.

4. Después de iniciar un restablecimiento de contraseña y luego optar por reenviar el correo, se emplean los tres métodos mencionados anteriormente.

Manipulación de Respuesta

1. Manipulación de Código: Se cambia el código de estado a 200 OK.

2. Manipulación de Código y Cuerpo:

• Se cambia el código de estado a 200 OK.

• Se modifica el cuerpo de la respuesta a {"success":true} o a un objeto vacío {}.

Estas técnicas de manipulación son efectivas en escenarios donde se utiliza JSON para la transmisión y recepción de datos.

Cambiar el correo electrónico de la sesión actual

Desde este informe:

• El atacante solicita cambiar su correo electrónico por uno nuevo.

• El atacante recibe un enlace para confirmar el cambio de correo electrónico.

• El atacante envía al víctima el enlace para que haga clic en él.

• El correo electrónico de la víctima se cambia al indicado por el atacante.

• El atacante puede recuperar la contraseña y tomar el control de la cuenta.

Esto también ocurrió en este informe.

Referencias

• https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050

• https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea