密碼重置功能是一些常見漏洞的起因。例如用戶名枚舉漏洞(數(shù)據(jù)庫中用戶名不存在和密碼錯(cuò)誤顯示不同的錯(cuò)誤信息)，敏感信息泄露(把明文密碼通過e-mail發(fā)送給用戶)重置密碼消息劫持(攻擊會(huì)者接收到密碼重置信息)這些都是在密碼重置功能中比較常見的漏洞。

很多開發(fā)者都不能真正了解密碼重置所能引發(fā)的危害，而這個(gè)博客文章告訴大家一些不遵守基本安全準(zhǔn)則的開發(fā)人員所開發(fā)的密碼重置功能會(huì)帶來哪些危害。

舉個(gè)例子，一個(gè)健壯的密碼恢重置功能會(huì)生成一個(gè)令牌，并通過電子郵件發(fā)送一個(gè)包含令牌的重置密碼連接給用戶。

令牌應(yīng)具有以下特征：

包含64個(gè)字符或者更多

唯一性

隨機(jī)性

一次性

擁有較短壽命(比如在24小時(shí)內(nèi)到期)

當(dāng)用戶點(diǎn)擊該鏈接時(shí)，應(yīng)用程序必須檢查令牌是否有效。

如果令牌有效，應(yīng)用程序必須注銷這個(gè)令牌，以便它不能被重用，并允許用戶更改自己的密碼。

此外，如果用戶試圖第二次重置密碼，在完成第一次重置過程之前，應(yīng)用程序必須廢止舊的密碼重置請(qǐng)求并生成一個(gè)新的重置請(qǐng)求。

為了提高安全性，也可以使用雙重的用戶身份認(rèn)證(但并不是必須使用)。

比如，要求用戶回答之前填寫的隱私問題(比如我的大姨媽的名字是神馬)或確認(rèn)發(fā)送到用戶手機(jī)的驗(yàn)證碼。

現(xiàn)在，讓我們分析一個(gè)真實(shí)的并且設(shè)計(jì)的很糟糕的密碼恢復(fù)系統(tǒng)，列舉出所有相關(guān)的安全漏洞，并嘗試編寫POC

 <?php      
 /* generates a new random password */   
  function generatePassword() {   
       $chars = array("a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z","0","1","2","3","4","5","6","7","8","9");        
       for ($i = 0; $i < 10; $i++){             
           $password .= $chars[rand(0,35)];   
      }   
      return $password;   
  }   
     /* send the new password to the user e-mail and update the database */   
 if ($_REQUEST['mail']) {        
      $con = new Connection();   
     $con->sql = "  SELECT usr_user.id,    
                     usr_user.name,    
                     usr_user.email,    
                      usr_user.password   
                FROM  usr_user    
                  WHERE  usr_user.email = '" . $_REQUEST['mail'] . "'   
                  ORDER  BY id DESC ";   
     $res = $con->executeQuery();   
      if (is_array($res)){   
           $usr = $res[0];   
          $password = generatePassword();   
           $con->sql = "UPDATE usr_user SET password = MD5(trim('".$password."')) WHERE email = '" . $_REQUEST['mail'] . "' ";   
         $con->executeQuery();   
         /* headers */   
            $headers = "MIME-Version: 1.0\r\n";   
          $headers .= "Content-type: text/html; charset=iso-8859-1\r\n";   
    
           /* aditional headers */   
           $headers .= "To: " . $usr->name . " <" .="" 35:="" headers="" 36:="" 37:="" message="" body="" 38:="" html="" 39:="" usr-="">name . '';   
           $html .= '';   
          $html .= '';   
          $html .= '';   
          $html .= '';          
          /* Send e-mail to user with his new password   
          if (mail($_REQUEST['mail'], "Your new administrative password", $html, $headers)){   
              $message = "Your new password was sent to: " . $_REQUEST['mail'];   
              $success = true;   
           }   
     } else {             
           $message = "The provided e-mail is invalid";   
          $success = false;   
     }         
 }      
?> 

(1)用戶名枚舉

最明顯的漏洞就是用戶名枚舉漏洞，用戶提交一個(gè)郵箱地址，如果郵箱存在那么，系統(tǒng)會(huì)返回一條信息

"Your new password has been sent to: LanLan@wyl.com"

如果該郵箱沒有被人注冊(cè)，那么系統(tǒng)將返回

"The provided e-mail is invalid"

(2)拒絕服務(wù)

第二個(gè)漏洞應(yīng)該是拒絕服務(wù)

這個(gè)系統(tǒng)中有一個(gè)生成隨機(jī)密碼的函數(shù)，攻擊者可以編寫一個(gè)腳本來不斷嘗試重置密碼過程(原文中給出15秒每次，懷疑頻率是否有點(diǎn)低)

另外，如果配合用戶名枚舉漏洞的話，這個(gè)漏洞會(huì)產(chǎn)生更大的危害，可以用來更改任意用戶的密碼。(雖然你收不到該密碼，但也可以給用戶產(chǎn)生不小的麻煩)

(3)敏感信息泄露

第三個(gè)漏洞是敏感信息泄露，因?yàn)樵撓到y(tǒng)使用明文把密碼通過郵件發(fā)送給用戶，并且沒有在用戶下次登錄的時(shí)候

強(qiáng)制用戶修改密碼。如果攻擊者獲取了用戶的郵件信息(其實(shí)這個(gè)也不算特別容易)，就可以通過郵件中的密碼登錄系統(tǒng)。

(4)SQL 注入

第四個(gè)注入漏洞也比較明顯，用戶提交的數(shù)據(jù)沒有經(jīng)過過濾直接代入查詢語句，利用方式也有很多種。這樣構(gòu)造可以改掉所有用戶的密碼，也可以用來造成拒絕服務(wù)攻擊。

Input: ’ or 1=1%23
First SQL becomes (Line 15): SELECT usr_user.id, usr_user.name, usr_user.email, usr_user.password FROM usr_user WHERE usr_user.email = ’’ or 1=1#’ ORDER   BY id DESC
Second SQL becomes (Line 26): UPDATE usr_user SET password = MD5(trim(‘xxxxxxxxxx’)) WHERE email like ’’ or 1=1#’

這個(gè)注入點(diǎn)還可以用來進(jìn)行盲注來猜測(cè)一些敏感信息。

(5)跨站腳本漏洞

第五個(gè)漏洞也可以很明顯的找到，用戶輸入的mail參數(shù)被帶入到了郵件內(nèi)容中(沒有經(jīng)過任何過濾)，這個(gè)漏洞的利用需要配合

SQL 注入漏洞來使用

User Input: ’ or 1=1%23
First SQL becomes (Line 15): SELECT usr_user.id, usr_user.name, usr_user.email, usr_user.password FROM usr_user WHERE usr_user.email = ’’ or 1=1#‘ ORDER BY id DESC
Second SQL becomes (Line 26): UPDATE usr_user SET password = MD5(trim(‘xxxxxxxxxx’)) WHERE email like ’’ or 1=1#‘
Response Message (Line 47): Your new password was sent to: ’ or 1=1#

提交上述數(shù)據(jù)，系統(tǒng)首先會(huì)修改所有用戶的密碼，然后給所有用戶發(fā)送包含惡意腳本的文件

(6)密碼重置信息劫持

最后一個(gè)漏洞是密碼重置信息劫持，也是危害比較嚴(yán)重的漏洞。產(chǎn)生原因是，用戶提交數(shù)據(jù)mail(又是這貨)被包含到了MIME頭中，這個(gè)漏洞的利用同樣需要配合SQL注入：

User Input: LanLan@wyl.com%00’ or 1=1%23
First SQL becomes (Line 15): SELECT usr_user.id, usr_user.name, usr_user.email, usr_user.password FROM usr_user WHERE usr_user.email = ’LanLan@wyl.com[null byte char]’ or 1=1#’ ORDER BY id DESC
Second SQL becomes (Line 26): UPDATE usr_user SET password = MD5(trim(‘xxxxxxxxxx’)) WHERE email like ’LanLan@wyl.com[null byte char]’ or 1=1#’
MIME Header becomes (Line 34): To: John Smith

執(zhí)行上面的代碼的結(jié)果就是所用用戶密碼被修改，修改后的郵件會(huì)被發(fā)送到LanLan@wyl.com，這里[null byte char]會(huì)截?cái)鄊ini頭中的信息。

原文地址：http://blog.spiderlabs.com/2013/12/exploiting-password-recovery-functionalities.html