Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/reset-password.md'] to de

Browse source
This commit is contained in:
Translator 2024-06-13 10:01:09 +00:00
parent 42c105949a
commit 96400eb924
1 changed files with 97 additions and 49 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

146
pentesting-web/reset-password.md
View file

@ -1,4 +1,4 @@
# Zurückgesetztes/Vergessenes Passwort umgehen
# Passwort zurücksetzen/Passwort vergessen umgehen
<details>
@ -6,7 +6,7 @@
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks in PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
@ -22,50 +22,101 @@ Treten Sie dem [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
**Echtzeit-Hack-News**\
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden
**Neueste Ankündigungen**\
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert
**Treten Sie uns bei** [**Discord**](https://discord.com/invite/N3FrSbmwdy) und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!
## **Passwort-Reset-Token-Leak über Referrer**
## **Leckage des Passwort-Reset-Tokens über Referrer**
* Der HTTP-Referer-Header kann das Passwort-Reset-Token preisgeben, wenn es in der URL enthalten ist. Dies kann passieren, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Website eines Drittanbieters klickt.
* Der HTTP-Referer-Header kann den Passwort-Reset-Token preisgeben, wenn er in der URL enthalten ist. Dies kann passieren, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Website eines Drittanbieters klickt.
* **Auswirkungen**: Potenzielle Übernahme des Kontos durch Cross-Site Request Forgery (CSRF)-Angriffe.
* **Ausnutzung**: Um zu überprüfen, ob ein Passwort-Reset-Token im Referer-Header preisgegeben wird, **fordern Sie einen Passwort-Reset** für Ihre E-Mail-Adresse an und **klicken Sie auf den bereitgestellten Reset-Link**. **Ändern Sie Ihr Passwort nicht** sofort. **Navigieren Sie stattdessen zu einer Website eines Drittanbieters** (wie Facebook oder Twitter), während Sie die Anfragen mit Burp Suite abfangen. Überprüfen Sie die Anfragen, um festzustellen, ob der **Referer-Header den Passwort-Reset-Token enthält**, da dies sensitive Informationen für Dritte offenlegen könnte.
* **Referenzen**:
* [HackerOne-Bericht 342693](https://hackerone.com/reports/342693)
* [HackerOne-Bericht 272379](https://hackerone.com/reports/272379)
* [Artikel zum Passwort-Reset-Token-Leak](https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a)
* [Artikel zur Leckage des Passwort-Reset-Tokens](https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a)
## **Passwort-Reset-Vergiftung**
* Angreifer können den Host-Header während der Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website zu lenken.
* **Patch**: Verwenden Sie `$_SERVER['SERVER_NAME']`, um Passwort-Reset-URLs zu erstellen, anstelle von `$_SERVER['HTTP_HOST']`.
* **Auswirkungen**: Führt zu potenzieller Übernahme des Kontos, indem Reset-Tokens an Angreifer durchsickern.
* **Maßnahmen zur Abhilfe**:
* Angreifer können den Host-Header während Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website zu lenken.
* **Auswirkungen**: Führt zu potenzieller Übernahme des Kontos durch Preisgabe von Reset-Tokens an Angreifer.
* **Maßnahmen zur Minderung**:
* Validieren Sie den Host-Header gegen eine Whitelist erlaubter Domains.
* Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.
* **Patch**: Verwenden Sie `$_SERVER['SERVER_NAME']`, um Passwort-Reset-URLs zu konstruieren, anstelle von `$_SERVER['HTTP_HOST']`.
* **Referenzen**:
* [Acunetix-Artikel zur Passwort-Reset-Vergiftung](https://www.acunetix.com/blog/articles/password-reset-poisoning/)
## **Passwort-Reset durch Manipulation des E-Mail-Parameters**
* Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
* **Maßnahmen zur Abhilfe**:
* Analysieren und validieren Sie E-Mail-Parameter ordnungsgemäß serverseitig.
* Verwenden Sie vorbereitete Anweisungen oder parameterisierte Abfragen, um Injektionsangriffe zu verhindern.
Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
* Fügen Sie die E-Mail des Angreifers als zweiten Parameter hinzu, indem Sie & verwenden.
```php
POST /resetPassword
[...]
email=victim@email.com&email=attacker@email.com
```
* Füge die E-Mail des Angreifers als zweiten Parameter hinzu, indem du %20 verwendest
```php
POST /resetPassword
[...]
email=victim@email.com%20email=attacker@email.com
```
* Füge die E-Mail des Angreifers als zweiten Parameter hinzu, indem du | verwendest.
```php
POST /resetPassword
[...]
email=victim@email.com|email=attacker@email.com
```
* Füge die E-Mail des Angreifers als zweiten Parameter hinzu, indem du cc verwendest
```php
POST /resetPassword
[...]
email="victim@mail.tld%0a%0dcc:attacker@mail.tld"
```
* Füge die E-Mail des Angreifers als zweiten Parameter unter Verwendung von BCC hinzu
```php
POST /resetPassword
[...]
email="victim@mail.tld%0a%0dbcc:attacker@mail.tld"
```
* Füge die E-Mail des Angreifers als zweiten Parameter hinzu, indem du , verwendest.
```php
POST /resetPassword
[...]
email="victim@mail.tld",email="attacker@mail.tld"
```
* Füge die E-Mail des Angreifers als zweiten Parameter im JSON-Array hinzu
```php
POST /resetPassword
[...]
{"email":["victim@mail.tld","atracker@mail.tld"]}
```
* **Minderungsmaßnahmen**:
* E-Mail-Parameter serverseitig ordnungsgemäß parsen und validieren.
* Verwenden von vorbereiteten Anweisungen oder parameterisierten Abfragen, um Injection-Angriffe zu verhindern.
* **Referenzen**:
* [Accountübernahme bei Readme.com](https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be)
* [https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be](https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be)
* [https://ninadmathpati.com/2019/08/17/how-i-was-able-to-earn-1000-with-just-10-minutes-of-bug-bounty/](https://ninadmathpati.com/2019/08/17/how-i-was-able-to-earn-1000-with-just-10-minutes-of-bug-bounty/)
* [https://twitter.com/HusseiN98D/status/1254888748216655872](https://twitter.com/HusseiN98D/status/1254888748216655872)
## **Ändern der E-Mail und des Passworts eines beliebigen Benutzers über API-Parameter**
* Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Kontozugangsdaten zu ändern.
* Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Zugangsdaten des Kontos zu ändern.
```php
POST /api/changepass
[...]
("form": {"email":"victim@email.tld","password":"12345678"})
```
* **Maßnahmen zur Abhilfe**:
* Stellen Sie eine strenge Parametervalidierung und Authentifizierungsprüfungen sicher.
* Stellen Sie sicher, dass eine strenge Parameterüberprüfung und Authentifizierungsprüfungen durchgeführt werden.
* Implementieren Sie robustes Logging und Monitoring, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
* **Referenz**:
* [Vollständige Kontoübernahme über API-Parametermanipulation](https://medium.com/@adeshkolte/full-account-takeover-changing-email-and-password-of-any-user-through-api-parameters-3d527ab27240)
* [Vollständige Übernahme des Kontos über die API-Parametermanipulation](https://medium.com/@adeshkolte/vollständige-kontoübernahme-änderung-der-e-mail-und-des-passworts-eines-beliebigen-benutzers-durch-api-parameter-3d527ab27240)
## **Keine Rate-Begrenzung: E-Mail-Bombardierung**
@ -74,21 +125,31 @@ Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates inform
* Implementieren Sie eine Rate-Begrenzung basierend auf der IP-Adresse oder dem Benutzerkonto.
* Verwenden Sie CAPTCHA-Herausforderungen, um automatischen Missbrauch zu verhindern.
* **Referenzen**:
* [HackerOne-Bericht 280534](https://hackerone.com/reports/280534)
* [HackerOne Report 280534](https://hackerone.com/reports/280534)
## **Finden Sie heraus, wie das Passwort-Reset-Token generiert wird**
## **Herausfinden, wie das Passwort-Reset-Token generiert wird**
* Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force erzwungen werden.
* Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force ermittelt werden. Einige Optionen:
* Basierend auf Zeitstempel
* Basierend auf der Benutzer-ID
* Basierend auf der E-Mail des Benutzers
* Basierend auf Vor- und Nachnamen
* Basierend auf dem Geburtsdatum
* Basierend auf Kryptographie
* **Maßnahmen zur Abhilfe**:
* Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
* Verwenden Sie starke, kryptographische Methoden für die Token-Generierung.
* Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersagbarkeit zu verhindern.
* **Tools**: Verwenden Sie Burp Sequencer, um die Zufälligkeit der Tokens zu analysieren.
## **Erratbare GUID**
## **Erratbare UUID**
* Wenn UUIDs (Version 1) erratbar oder vorhersagbar sind, können Angreifer versuchen, sie durch Brute-Force zu erzeugen, um gültige Reset-Tokens zu generieren. Überprüfen Sie:
{% content-ref url="uuid-insecurities.md" %}
[uuid-insecurities.md](uuid-insecurities.md)
{% endcontent-ref %}
* Wenn GUIDs (z. B. Version 1) erratbar oder vorhersagbar sind, können Angreifer versuchen, sie durch Brute-Force zu generieren, um gültige Reset-Tokens zu erhalten.
* **Maßnahmen zur Abhilfe**:
* Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
* Verwenden Sie GUID Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
* **Tools**: Verwenden Sie [guidtool](https://github.com/intruder-io/guidtool) zur Analyse und Generierung von GUIDs.
## **Antwortmanipulation: Ersetzen einer schlechten Antwort durch eine gute**
@ -98,13 +159,13 @@ Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates inform
* Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antwort sicherzustellen.
* Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.
* **Referenz**:
* [Kritischer Fehler in Live-Bug-Bounty-Veranstaltung](https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3)
* [Kritischer Fehler in Live-Bug-Bounty-Veranstaltung](https://medium.com/@innocenthacker/wie-ich-den-gefährlichsten-fehler-in-einer-live-bug-bounty-veranstaltung-entdeckt-habe-7a88b3aa97b3)
## **Verwendung eines abgelaufenen Tokens**
* Testen, ob abgelaufene Tokens immer noch für das Zurücksetzen des Passworts verwendet werden können.
* **Maßnahmen zur Abhilfe**:
* Implementieren Sie strenge Richtlinien für die Token-Verfallzeit und validieren Sie den Ablauf serverseitig.
* Implementieren Sie strenge Richtlinien für die Token-Ablaufzeit und validieren Sie den Ablauf serverseitig.
## **Brute-Force-Passwort-Reset-Token**
@ -115,21 +176,22 @@ Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates inform
## **Versuchen Sie, Ihr Token zu verwenden**
* Testen, ob ein von einem Angreifer generiertes Reset-Token in Verbindung mit der E-Mail des Opfers verwendet werden kann.
* Testen, ob ein zurückgesetztes Token eines Angreifers in Verbindung mit der E-Mail des Opfers verwendet werden kann.
* **Maßnahmen zur Abhilfe**:
* Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.
## **Sitzungsinvalidierung beim Ausloggen/Passwort-Reset**
## **Sitzungsinvalidierung beim Abmelden/Passwort zurücksetzen**
* Stellen Sie sicher, dass Sitzungen ungültig werden, wenn ein Benutzer sich ausloggt oder sein Passwort zurücksetzt.
* Stellen Sie sicher, dass Sitzungen ungültig werden, wenn sich ein Benutzer abmeldet oder sein Passwort zurücksetzt.
* **Maßnahmen zur Abhilfe**:
* Implementieren Sie eine ordnungsgemäße Sitzungsverwaltung und stellen Sie sicher, dass alle Sitzungen beim Ausloggen oder Passwort-Reset ungültig werden.
* Implementieren Sie eine ordnungsgemäße Sitzungsverwaltung und stellen Sie sicher, dass alle Sitzungen beim Abmelden oder Zurücksetzen des Passworts ungültig werden.
## **Sitzungsinvalidierung beim Ausloggen/Passwort-Reset**
## **Sitzungsinvalidierung beim Abmelden/Passwort zurücksetzen**
* Reset-Tokens sollten eine Ablaufzeit haben, nach der sie ungültig werden.
* **Maßnahmen zur Abhilfe**:
* Legen Sie eine angemessene Ablaufzeit für Reset-Tokens fest und erzwingen Sie diese strikt serverseitig.
## Referenzen
* [https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token](https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token)
@ -142,23 +204,9 @@ Treten Sie dem [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy)
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen
**Echtzeit-Hack-News**\
Bleiben Sie mit den schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden
**Neueste Ankündigungen**\
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert
Bleiben Sie über die neuesten Bug-Bounties und wichtigen Plattformupdates informiert
**Treten Sie uns bei auf** [**Discord**](https://discord.com/invite/N3FrSbmwdy) und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!
<details>
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
</details>
**Treten Sie uns bei** auf [**Discord**](https://discord.com/invite/N3FrSbmwdy) und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!