文章插图
大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分 。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣 。
在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS和SQL漏洞,于是我很快开始尝试绕过动态密码,因为它在你每次执行敏感操作时都会出现 。
文章插图
在进行了几次测试后,我发现目标应用会使用一个很长的令牌来标记是否输入了动态密码 。只有输入有效的动态密码,才提供令牌 。
那么我们能做些什么来绕过动态密码亦或是令牌的限制呢?我很快就想到,不同用户之间的令牌是否能通用?于是我进行了简单的尝试,发现确实有效 。
复现步骤
- 登录攻击者的账户
- 转到https://razerid.razer.com/account,修改电子邮件地址
- 你将看到弹出一个对话框,提示需要输入动态密码
- 输入有效动态密码,再用BurpSuite拦截住更改电子邮件的最后请求
- 将请求发送到BurpSuite的Repeater中
- 此时登录受害者帐户(假设你有受害者帐户密码)
- 更改名称,拦截住相关请求
- 复制请求中的user_id和user_token,将其保存到文件中
- 转到BurpSuite拦截的攻击帐户更改电子邮件的请求中,将该请求中的user_id和user_token替换为受害者帐户的user_id和user_token(user_token和动态密码产生的令牌并不一样)
- 最后提交修改后的请求,查看受害者帐户绑定的电子邮件地址是否为攻击者所控制的电子邮件地址 。
我把报告写的很详细,提交给雷蛇,但雷蛇的审核人员居然认为这个漏洞需要物理接触受害者的机器才能进行?
文章插图
文章插图
在经过长时间的扯皮后,雷蛇表示,他们提供一个测试帐号,如果我能更改帐号绑定的电子邮件地址,就认同我的漏洞 。
很快,我就把这个帐号和我的电子邮件地址绑定在一起 。雷蛇最后也给了我1000美元的漏洞奖励 。
在这次经历后,我又找到了另一个动态密码绕过漏洞,在雷蛇修复后将会对外公开 。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://nosec.org/home/detail/3056.html
原文:https://medium.com/@anandadhakal13/how-i-was-able-to-bypass-otp-token-requirement-in-razer-the-story-of-a-critical-bug-fc63a94ad572
【绕过雷蛇官网的动态验证码】
推荐阅读
- DDoS攻击种类及防护措施简介
- 通宵玩网游的人为何要多喝茶
- 求职|男子收留女网友,两人同吃同住,同睡一张床,“是纯友情”
- 自拍|女大学生自拍照惊现网购评论区 师姐询问才发现被盗图
- 网友热议|买204瓶茅台61瓶被打孔 技术升级强光灯照不出来:酒商回应非故意售假
- 司机|交警多问一句察觉司机有中风前兆 被强行送医捡回一条命:网友点赞太负责
- 华为实验 ENSP模拟VXLAN EVPN分布式网关
- 淘宝网如何选择货源 开淘宝店货源怎么弄
- 日用品库存尾货回收 品牌化妆品尾货处理网
- 淘宝店铺一件代发流程 如何开淘宝网店的步骤一件代发