Seguridad empresarial para ataques y defensa web: resumen de casos de seguridad de recuperación de contraseña
La seguridad empresarial se refiere a las medidas o medios para proteger los sistemas empresariales de las amenazas a la seguridad. La seguridad empresarial en un sentido amplio debe incluir las plataformas de software y hardware (sistemas operativos, bases de datos, middleware, etc.) que ejecutan la empresa, el propio sistema empresarial (software o equipo) y la seguridad de los servicios prestados por la empresa ; la seguridad en sentido estricto se refiere al software propio del sistema empresarial y la seguridad del servicio .
Tabla de contenido:
Resumen del caso de seguridad de recuperación de contraseña:
El certificado de recuperación de contraseña se puede descifrar por fuerza bruta:
Las credenciales de recuperación de contraseña se devuelven directamente al cliente:
Las credenciales de restablecimiento de contraseña están vagamente asociadas con cuentas de usuario:
Vuelva a vincular el teléfono móvil del usuario:
Defectos lógicos del código de verificación del lado del servidor:
Cobertura de registro----los usuarios existentes se pueden registrar repetidamente:
Método de anulación de sesión para restablecer otras contraseñas de cuenta:
Medidas para prevenir vulnerabilidades de recuperación de contraseñas:
Descargo de responsabilidad:
Está estrictamente prohibido utilizar la tecnología mencionada en este artículo para llevar a cabo ataques ilegales, de lo contrario, las consecuencias serán bajo su propio riesgo y quien subió el contenido no asumirá ninguna responsabilidad.
Resumen del caso de seguridad de recuperación de contraseña:
El certificado de recuperación de contraseña se puede descifrar por fuerza bruta:
El certificado de recuperación de contraseña significa que durante el proceso de recuperación de contraseña, el servidor envía un código de verificación o una URL especialmente construida al teléfono móvil registrado del usuario o a la dirección de correo electrónico para la autoidentificación del usuario. Cuando se pueden eludir las restricciones laxas, un atacante puede hacerse pasar por el usuario para restablecer la contraseña mediante la fuerza bruta de las credenciales de usuario enumeradas .
Las credenciales de recuperación de contraseña se devuelven directamente al cliente:
Algunos sistemas de información tienen lagunas lógicas en el diseño de la función de recuperación de contraseña y pueden devolver las credenciales de recuperación de contraseña de la información utilizada para la autoidentificación del usuario al cliente de varias maneras . De esta manera, siempre que el atacante obtenga el paquete de datos localmente y analice su contenido, puede obtener las credenciales de recuperación de contraseña de otros usuarios, haciéndose pasar por el usuario para restablecer la contraseña.
Las credenciales de recuperación de contraseña están expuestas en el enlace de solicitud
Paso 1: ingrese al sitio de inicio de sesión de un sitio web determinado, haga clic en Olvidé mi contraseña y elija recuperar la contraseña a través del teléfono móvil registrado.
Paso 2: ingrese el número de teléfono móvil, haga clic para obtener el código de verificación y use Burp Suite para capturar el paquete y ver el código de verificación en el enlace solicitado.
Paso 3: Ingrese directamente el código de verificación expuesto en el enlace de solicitud para cambiar la contraseña.
La respuesta secreta está oculta en el código fuente de la página web.
Paso 1: Vaya a un sitio web y haga clic en el botón "Recuperar contraseña" y luego haga clic en el enlace "Apelación en línea".
Paso dos: vaya en línea. Verifique el código fuente directamente en la página de apelación y descubra que no solo hay preguntas de solicitud de contraseña en el código fuente, sino que también las respuestas a las preguntas están ocultas en la tabla Ocultar. A través de este método, se puede obtener la respuesta a la pregunta de modificación de contraseña de cualquier usuario, y se puede modificar la contraseña de otros usuarios.
El código de verificación de SMS se devuelve al cliente: https://tianyuk.blog.csdn.net/article/details/130023416
Las credenciales de restablecimiento de contraseña están vagamente asociadas con cuentas de usuario:
Algunos sistemas de información tienen defectos en la lógica de verificación de la función de recuperación de contraseña, solo verifican si la credencial de restablecimiento de contraseña existe en la base de datos, pero no verifican estrictamente la relación vinculante entre la credencial de restablecimiento y la cuenta de usuario. en el que la credencial de restablecimiento de contraseña no está estrictamente asociada con la cuenta de usuario permite al atacante restablecer la contraseña de otras cuentas modificando la cuenta de usuario en el paquete de datos.
Utilice su propio código de verificación por SMS para recuperar la contraseña de otra persona.
Paso 1: ingrese a la página de recuperación del número de teléfono móvil, complete su número de teléfono móvil para recuperar la contraseña.
Paso 2: después de recibir el código de verificación, complete el código de verificación y la nueva contraseña para enviar. En este momento, use la herramienta de captura de paquetes de datos Burp Suite para capturar el paquete y cambie el nombre de usuario en el paquete de datos a otra cuenta. Después Al enviar la publicación , puede configurarla usted mismo para iniciar sesión en otras cuentas.
Vuelva a vincular el teléfono móvil del usuario:
Algunos sistemas de información tienen una vulnerabilidad de acceso no autorizado en la función de vincular el teléfono móvil o el buzón del usuario. Los atacantes pueden usar esta vulnerabilidad para vincular los teléfonos móviles o los buzones de correo de otros usuarios más allá de su autoridad y luego restablecer sus contraseñas a través de métodos normales de recuperación de contraseña.
Vuelva a vincular el teléfono móvil del usuario
Paso 1: primero registre una cuenta de prueba con un buzón determinado y luego salte a una página vinculada a un teléfono móvil.
Paso 2: tenga en cuenta que hay un parámetro en el enlace que es uid en este momento , cambie el uid a la cuenta de correo electrónico de otra persona, complete un número de teléfono móvil que pueda controlar, obtenga el código de verificación y confirme que el correo electrónico de destino ha sido atado más allá de la autoridad Teléfono celular asegurado.
Paso 3: Realice el proceso normal de recuperación de contraseña y descubra que hay una forma adicional de recuperar la contraseña a través del teléfono móvil en este buzón. Este número de teléfono móvil es el número de teléfono móvil que acaba de enlazar.
Paso 4: obtenga el código de verificación e ingrese la nueva contraseña, y finalmente restablezca con éxito la contraseña de la nueva cuenta de destino.
Defectos lógicos del código de verificación del lado del servidor:
Existen lagunas en la lógica de verificación del servidor de algunos sistemas de información. Los atacantes pueden modificar la dirección de envío de correo electrónico eliminando algunos parámetros en el paquete de datos u omitir los pasos de selección del método de recuperación y verificación de identidad, y pueden ingresar directamente a la página de restablecimiento de contraseña y restablecer con éxito la contraseña. contraseñas de otras personas.
Eliminar la validación de omisión de parámetros
Paso 1: Cierto sistema de buzón puede recuperar la contraseña a través de la pregunta de solicitud de contraseña.
Paso 2: primero complete la respuesta de la contraseña al azar, luego ingrese el siguiente paso para capturar el paquete y elimine todo el campo de la respuesta a la pregunta antes de enviar.
Paso 3: Debido a fallas en la lógica de verificación del servidor, si no se puede obtener la respuesta a la pregunta, pase la verificación directamente y restablezca la contraseña con éxito.
Las direcciones de correo electrónico pueden ser manipuladas
Paso 1: hay algunos sitios web que pueden recuperar la contraseña a través de la dirección de correo electrónico ingresada durante el registro, pero para evitar fallas en el envío de correos electrónicos debido a la inestabilidad de la red y otros factores, la página de recuperación de contraseña proporciona la función de reenvío de correos electrónicos.
Paso 2: Haga clic para reenviar el correo electrónico, luego capture el paquete con la herramienta Burp Suite para interceptar la solicitud y cambie la dirección de correo electrónico en el paquete de datos a la dirección de correo electrónico que probó.
Paso 3: Haga clic para ingresar al buzón que probó y haga clic en el enlace para restablecer la contraseña correctamente.
Los pasos de autenticación se pueden omitir
Paso 1: ingrese la función de recuperación de contraseña de un sitio web determinado, ingrese el número de cuenta y el código de verificación.
Paso 2: Después de confirmar, visite directamente http://**.***.com.cn/reset/pass.do para omitir el proceso de selección del método de recuperación y autenticación de identidad e ingrese directamente a la página de restablecimiento de contraseña.
Verifique localmente la información de devolución del servidor----modifique el paquete de devolución para verificarlo:
Algunos sistemas de información tienen lagunas lógicas en el diseño de la función de recuperación de contraseñas, un atacante solo necesita tomar el paquete de retorno del servidor y modificar algunos parámetros en él, omitiendo el paso de verificación e ingresando directamente a la página de restablecimiento de contraseña.
Modifique el paquete de devolución para omitir la verificación : https://tianyuk.blog.csdn.net/article/details/130057199
Cobertura de registro----los usuarios existentes se pueden registrar repetidamente:
La función de registro de usuarios de algunos sistemas de información no verifica estrictamente las cuentas de usuario existentes, por lo que los atacantes pueden restablecer las contraseñas de otras cuentas registrando repetidamente otras cuentas de usuario.
Paso 1: Ingrese a un sitio web, haga clic en Registro de usuario, ingrese el nombre de usuario, después de que el mouse abandone el cuadro de entrada, se le indicará que la cuenta ha sido registrada.
Paso 2: ingrese un nombre de usuario no registrado y envíe el formulario. Al mismo tiempo, use la herramienta de captura de paquetes Burp Suite para interceptar el paquete de datos y cambie el valor del parámetro de nombre de usuario a admin.
Paso 3: En este momento, la contraseña del usuario admin ha sido modificada por registro repetido, pero toda la información del usuario original no ha sido modificada, es decir, el atacante ha obtenido toda la información del usuario, incluyendo : nombre, DNI, número de teléfono móvil, etc.
Método de anulación de sesión para restablecer otras contraseñas de cuenta:
Existen lagunas en la verificación del lado del servidor de la función de recuperación de contraseña de algunos servidores.Cuando un atacante utiliza el enlace de recuperación de contraseña para restablecer la contraseña, puede restablecer con éxito las contraseñas de otras cuentas a través de la cobertura de sesión.
Paso 1: use su propia cuenta para recuperar la contraseña.
Paso 2: no haga clic en el enlace después de recibir el correo electrónico.
Paso 3: abra el sitio web en el mismo navegador e ingrese nuevamente a la página de recuperación de contraseña e ingrese el número de cuenta de otra persona.
Paso 4: Después de hacer clic en el correo electrónico de restablecimiento de contraseña, deténgase en esta página.
Paso 5: en el mismo navegador, abra el enlace recibido en el correo electrónico en el paso 2 y luego configure una nueva contraseña.
Paso 6: use la contraseña recién configurada para iniciar sesión con éxito en la cuenta de otra persona.
Medidas para prevenir vulnerabilidades de recuperación de contraseñas:
(1) Al diseñar la función de recuperación de contraseñas, limite el número y la frecuencia de la verificación de credenciales de usuario para evitar que los atacantes realicen ataques de enumeración de fuerza bruta en las credenciales de usuario.
(2) Clasifique todos los enlaces de recuperación de contraseñas, registre y analice todos los datos de interacción y evite que la información confidencial, como las credenciales de recuperación de contraseñas, se devuelva directamente al cliente.
(3) Audite el algoritmo de generación del token de restablecimiento de contraseña del lado del servidor y evite el uso de algoritmos simples que los atacantes pueden descifrar fácilmente.
(4) La credencial de restablecimiento de contraseña debe estar estrictamente vinculada a la cuenta, y se debe establecer un tiempo efectivo para evitar que los atacantes restablezcan las contraseñas de otras cuentas modificando la identificación de la cuenta.
(5) Se debe realizar una verificación estricta de los datos importados por el cliente. La información importante, como el número de teléfono móvil y la dirección de correo electrónico, debe verificarse con la información almacenada en los datos de fondo, y no debe usarse directamente de los parámetros pasados en por el cliente Evite que los atacantes restablezcan las contraseñas de otras cuentas manipulando los datos entrantes.
(6) Auditar la lógica comercial, como el registro de usuarios y la vinculación de buzones de correo de teléfonos móviles, para evitar que los atacantes restablezcan indirectamente otras contraseñas de cuentas a través de lagunas, como el registro repetido de usuarios y la vinculación no autorizada.
Libros para aprender: una guía práctica para la seguridad empresarial de ataque y defensa web.