Italian - Ht
HackTricks Training Twitter Linkedin Sponsor

Reset/Forgotten Password Bypass

Support HackTricks

Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!

Hacking Insights Engage with content that delves into the thrill and challenges of hacking

Real-Time Hack News Keep up-to-date with fast-paced hacking world through real-time news and insights

Latest Announcements Stay informed with the newest bug bounties launching and crucial platform updates

Join us on Discord and start collaborating with top hackers today!

Password Reset Token Leak Via Referrer

  • L'intestazione HTTP referer può rivelare il token di reset della password se è incluso nell'URL. Questo può verificarsi quando un utente fa clic su un link di un sito web di terze parti dopo aver richiesto un reset della password.

  • Impatto: Potenziale assunzione dell'account tramite attacchi Cross-Site Request Forgery (CSRF).

  • Sfruttamento: Per controllare se un token di reset della password sta trapelando nell'intestazione referer, richiedi un reset della password al tuo indirizzo email e clicca sul link di reset fornito. Non cambiare immediatamente la tua password. Invece, naviga verso un sito web di terze parti (come Facebook o Twitter) mentre intercetti le richieste utilizzando Burp Suite. Ispeziona le richieste per vedere se l'intestazione referer contiene il token di reset della password, poiché questo potrebbe esporre informazioni sensibili a terzi.

  • Riferimenti:

  • HackerOne Report 342693

  • HackerOne Report 272379

  • Articolo sulla fuga del token di reset della password

Password Reset Poisoning

  • Gli attaccanti possono manipolare l'intestazione Host durante le richieste di reset della password per indirizzare il link di reset a un sito malevolo.

  • Impatto: Porta a una potenziale assunzione dell'account rivelando i token di reset agli attaccanti.

  • Passi di mitigazione:

  • Valida l'intestazione Host rispetto a un elenco di domini consentiti.

  • Usa metodi sicuri, lato server, per generare URL assoluti.

  • Patch: Usa $_SERVER['SERVER_NAME'] per costruire URL di reset della password invece di $_SERVER['HTTP_HOST'].

  • Riferimenti:

  • Articolo di Acunetix su Password Reset Poisoning

Password Reset By Manipulating Email Parameter

Gli attaccanti possono manipolare la richiesta di reset della password aggiungendo parametri email aggiuntivi per deviare il link di reset.

  • Aggiungi l'email dell'attaccante come secondo parametro usando &

POST /resetPassword
[...]
email=victim@email.com&email=attacker@email.com

  • Aggiungi l'email dell'attaccante come secondo parametro usando %20

POST /resetPassword
[...]
email=victim@email.com%20email=attacker@email.com

  • Aggiungi l'email dell'attaccante come secondo parametro usando |

POST /resetPassword
[...]
email=victim@email.com|email=attacker@email.com

  • Aggiungi l'email dell'attaccante come secondo parametro utilizzando cc

POST /resetPassword
[...]
email="victim@mail.tld%0a%0dcc:attacker@mail.tld"

  • Aggiungi l'email dell'attaccante come secondo parametro utilizzando bcc

POST /resetPassword
[...]
email="victim@mail.tld%0a%0dbcc:attacker@mail.tld"

  • Aggiungi l'email dell'attaccante come secondo parametro usando ,

POST /resetPassword
[...]
email="victim@mail.tld",email="attacker@mail.tld"

  • Aggiungi l'email dell'attaccante come secondo parametro nell'array json

POST /resetPassword
[...]
{"email":["victim@mail.tld","atracker@mail.tld"]}

Cambiamento dell'Email e della Password di qualsiasi Utente tramite Parametri API

  • Gli attaccanti possono modificare i parametri email e password nelle richieste API per cambiare le credenziali dell'account.

POST /api/changepass
[...]
("form": {"email":"victim@email.tld","password":"12345678"})

  • Passi di Mitigazione:

  • Assicurati di una rigorosa validazione dei parametri e controlli di autenticazione.

  • Implementa un logging e monitoraggio robusti per rilevare e rispondere ad attività sospette.

  • Riferimento:

  • Full Account Takeover via API Parameter Manipulation

Nessun Limite di Frequenza: Email Bombing

  • La mancanza di limiti di frequenza sulle richieste di reset della password può portare a un bombardamento di email, sopraffacendo l'utente con email di reset.

  • Passi di Mitigazione:

  • Implementa limiti di frequenza basati su indirizzo IP o account utente.

  • Usa sfide CAPTCHA per prevenire abusi automatizzati.

  • Riferimenti:

  • HackerOne Report 280534

Scoprire Come Viene Generato il Token di Reset della Password

  • Comprendere il modello o il metodo dietro la generazione del token può portare a prevedere o forzare i token. Alcune opzioni:

  • Basato su Timestamp

  • Basato su UserID

  • Basato sull'email dell'utente

  • Basato su Nome e Cognome

  • Basato sulla Data di Nascita

  • Basato sulla Crittografia

  • Passi di Mitigazione:

  • Usa metodi crittografici forti per la generazione dei token.

  • Assicurati di una sufficiente casualità e lunghezza per prevenire la prevedibilità.

  • Strumenti: Usa Burp Sequencer per analizzare la casualità dei token.

UUID Indovinabili

  • Se gli UUID (versione 1) sono indovinabili o prevedibili, gli attaccanti possono forzarli per generare token di reset validi. Controlla:

UUID Insecurities

  • Passi di Mitigazione:

  • Usa GUID versione 4 per la casualità o implementa misure di sicurezza aggiuntive per altre versioni.

  • Strumenti: Usa guidtool per analizzare e generare GUID.

Manipolazione della Risposta: Sostituire una Risposta Negativa con una Positiva

  • Manipolare le risposte HTTP per bypassare messaggi di errore o restrizioni.

  • Passi di Mitigazione:

  • Implementa controlli lato server per garantire l'integrità della risposta.

  • Usa canali di comunicazione sicuri come HTTPS per prevenire attacchi man-in-the-middle.

  • Riferimento:

  • Critical Bug in Live Bug Bounty Event

Utilizzo di Token Scaduti

  • Testare se i token scaduti possono ancora essere utilizzati per il reset della password.

  • Passi di Mitigazione:

  • Implementa politiche rigorose di scadenza dei token e valida la scadenza del token lato server.

Brute Force del Token di Reset della Password

  • Tentare di forzare il token di reset utilizzando strumenti come Burpsuite e IP-Rotator per bypassare i limiti di frequenza basati su IP.

  • Passi di Mitigazione:

  • Implementa meccanismi robusti di limitazione della frequenza e di blocco dell'account.

  • Monitora attività sospette indicative di attacchi di forza bruta.

Prova a Usare il Tuo Token

  • Testare se il token di reset di un attaccante può essere utilizzato in combinazione con l'email della vittima.

  • Passi di Mitigazione:

  • Assicurati che i token siano legati alla sessione utente o ad altri attributi specifici dell'utente.

Invalidazione della Sessione al Logout/Reset della Password

  • Assicurati che le sessioni siano invalidate quando un utente esce o resetta la propria password.

  • Passi di Mitigazione:

  • Implementa una corretta gestione delle sessioni, assicurandoti che tutte le sessioni siano invalidate al logout o al reset della password.

Invalidazione della Sessione al Logout/Reset della Password

  • I token di reset dovrebbero avere un tempo di scadenza dopo il quale diventano non validi.

  • Passi di Mitigazione:

  • Imposta un tempo di scadenza ragionevole per i token di reset e applicalo rigorosamente lato server.

Riferimenti

Unisciti al server HackenProof Discord per comunicare con hacker esperti e cacciatori di bug bounty!

Approfondimenti sul Hacking Interagisci con contenuti che approfondiscono il brivido e le sfide dell'hacking

Notizie di Hacking in Tempo Reale Rimani aggiornato con il mondo dell'hacking in rapida evoluzione attraverso notizie e approfondimenti in tempo reale

Ultimi Annunci Rimani informato con i nuovi bug bounty in partenza e aggiornamenti cruciali della piattaforma

Unisciti a noi su Discord e inizia a collaborare con i migliori hacker oggi stesso!

Supporta HackTricks
PreviousRegular expression Denial of Service - ReDoSNextReverse Tab Nabbing

Last updated