Jak czasem można łatwo oszukać mechanizm przypominania hasła? #vulnz

Dzisiaj mała rzecz – a cieszy może czasem doprowadzić do poważnych problemów. Zapewne każdy z nas wielokrotnie korzystał z mechanizmu przypominania hasła – wpisujemy tam login lub e-mail i oczekujemy na wiadomość linkiem umożliwiającym reset hasła. Oczywiście link posiada tzw. token (odpowiednio długi losowy ciąg znaków) potwierdzający, że mogę zmienić hasło.

Gdzie może występować problem? W wielu miejscach ;) Ale jednym z nich jest sam formularz resetu hasła, gdzie możemy spróbować zmodyfikować nagłówek HTTP o nazwie host. Część aplikacji kopiuje tę wartość do maila z resetem hasła, który wysyłany jest do użytkownika. Przykład poniżej. Na początek atakujący w host wpisuje adres swojego serwera i podaje login użytkownika którego chce zaatakować:

Jeśli aplikacja jest podatna, do ofiary przychodzi całkiem normalny mail, ale w linkach do resetu hasła już nie ma realnej domeny, tylko ta wskazana wcześniej przez atakującego (w nagłówku host). Ofiara klika link do resetu hasła („tak z ciekawości, najwyżej jak będzie coś podejrzanego to nie podam żadnego hasła”) – w tym momencie ląduje na stronie atakującego, ale uwaga: w linku był też przekazany token umożliwiający reset hasła:

Finalnie atakujący używa tokenu do zresetowania hasła ofiary (łącząc się już z normalnym serwerem). Game over.

PS
Czasem warto pokombinować z innymi nagłówkami (gdy zmiana host nie przynosi rezultatu). Tutaj przykład z X-Forwarded-Host:

–ms