密码重置中毒
密码重置中毒是一种技术,攻击者可以操纵一个脆弱的网站来生成密码重置链接,指向其控制下的域。beplay体育能用吗可以利用此行为来窃取重置任意用户密码所需的秘密令牌,并最终损害其帐户。
研究
我们的研究总监詹姆斯·凯特尔(James Kettle)于2013年首次记录了这项技术。查看我们的研究页面,以获取詹姆斯和团队其他成员发现的更具创新技术的完整文章和视频演示。
beplay官网可以赌港口研究密码重置如何工作?
几乎所有需要登录的网站还实现beplay体育能用吗功能,如果用户忘记了密码。有几种方法,具有不同程度的安全性和实用性。最常见的方法之一就是这样:
- 用户输入其用户名或电子邮件地址,并提交密码重置请求。
- 该网站检beplay体育能用吗查该用户是否存在,然后生成一个临时,独特的高渗透令牌,并在后端与用户的帐户相关联。
该网站向beplay体育能用吗用户发送电子邮件,其中包含用于重置密码的链接。用户的唯一重置令牌包含在相应URL中的查询参数:
https://normal-beplay体育能用吗website.com/reset?token=0A1B2C3D4E5F6G7H8I9J
- 当用户访问此URL时,网站会检查提供的令牌是否有效,并使用它来确定要重beplay体育能用吗置哪个帐户。如果所有内容都如预期,则可以将用户选项输入新密码。最后,令牌被破坏了。
与其他一些方法相比,此过程足够简单且相对安全。但是,其安全性依赖于这样的原则,即只有预期的用户才能访问其电子邮件收件箱,因此可以访问其独特的令牌。密码重置中毒是一种窃取此令牌以更改其他用户密码的方法。
如何构建密码重置中毒攻击
如果发送给用户的URL是基于可控输入(例如主机标头)动态生成的,则可以构造密码重置中毒攻击,如下:
- 攻击者根据需要获得受害者的电子邮件地址或用户名,并代表他们提交密码重置请求。提交表单时,他们会拦截所得的HTTP请求并修改主机标头,以指向他们控制的域。对于此示例,我们将使用
evil-user.net
。 受害人直接从网站接收真正的密码重置电子邮件。beplay体育能用吗这似乎包含一个普通链接来重置其密码,并且至关重要的是包含与其帐户关联的有效密码重置令牌。但是,URL中的域名指向攻击者的服务器:
https://evil-user.net/reset?token=0A1B2C3D4E5F6G7H8I9J
- 如果受害者单击此链接(或者是通过防病毒扫描仪以其他方式获取的),则密码重置令牌将交付给攻击者的服务器。
- 攻击者现在可以访问脆弱网站的真实URL,并通过相应的参数提供受害者被盗的令牌。beplay体育能用吗然后,他们将能够将用户的密码重置为自己喜欢的任何内容,然后登录到他们的帐户。
例如,在一次真正的攻击中,攻击者可能会试图通过首先用假违规通知将受害者点击链接的可能性。
即使您无法控制密码重置链接,有时也可以使用主机标头将HTML注入敏感电子邮件中。请注意,电子邮件客户端通常不会执行JavaScript,而是其他HTML注入技术悬空的标记攻击可能仍然适用。