hacktricks/pentesting-web/reset-password.md

Zurückgesetztes/Vergessenes Passwort umgehen

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks in PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking-Einblicke
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen

Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeitnachrichten und Einblicke auf dem Laufenden

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert

Treten Sie uns bei Discord und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!

Passwort-Reset-Token-Leak über Referrer

• Der HTTP-Referer-Header kann das Passwort-Reset-Token preisgeben, wenn es in der URL enthalten ist. Dies kann passieren, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Website eines Drittanbieters klickt.
• Auswirkungen: Potenzielle Übernahme des Kontos durch Cross-Site Request Forgery (CSRF)-Angriffe.
• Referenzen:
• HackerOne-Bericht 342693
• HackerOne-Bericht 272379
• Artikel zum Passwort-Reset-Token-Leak

Passwort-Reset-Vergiftung

• Angreifer können den Host-Header während der Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website zu lenken.
• Patch: Verwenden Sie $_SERVER['SERVER_NAME'], um Passwort-Reset-URLs zu erstellen, anstelle von $_SERVER['HTTP_HOST'].
• Auswirkungen: Führt zu potenzieller Übernahme des Kontos, indem Reset-Tokens an Angreifer durchsickern.
• Maßnahmen zur Abhilfe:
• Validieren Sie den Host-Header gegen eine Whitelist erlaubter Domains.
• Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.
• Referenzen:
• Acunetix-Artikel zur Passwort-Reset-Vergiftung

Passwort-Reset durch Manipulation des E-Mail-Parameters

• Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
• Maßnahmen zur Abhilfe:
• Analysieren und validieren Sie E-Mail-Parameter ordnungsgemäß serverseitig.
• Verwenden Sie vorbereitete Anweisungen oder parameterisierte Abfragen, um Injektionsangriffe zu verhindern.
• Referenzen:
• Accountübernahme bei Readme.com

Ändern der E-Mail und des Passworts eines beliebigen Benutzers über API-Parameter

• Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Kontozugangsdaten zu ändern.
• Maßnahmen zur Abhilfe:
• Stellen Sie eine strenge Parametervalidierung und Authentifizierungsprüfungen sicher.
• Implementieren Sie robustes Logging und Monitoring, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.
• Referenz:
• Vollständige Kontoübernahme über API-Parametermanipulation

Keine Rate-Begrenzung: E-Mail-Bombardierung

• Fehlende Rate-Begrenzung bei Passwort-Reset-Anfragen kann zu einer E-Mail-Bombardierung führen, bei der der Benutzer mit Reset-E-Mails überflutet wird.
• Maßnahmen zur Abhilfe:
• Implementieren Sie eine Rate-Begrenzung basierend auf der IP-Adresse oder dem Benutzerkonto.
• Verwenden Sie CAPTCHA-Herausforderungen, um automatischen Missbrauch zu verhindern.
• Referenzen:
• HackerOne-Bericht 280534

Finden Sie heraus, wie das Passwort-Reset-Token generiert wird

• Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force erzwungen werden.
• Maßnahmen zur Abhilfe:
• Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
• Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersagbarkeit zu verhindern.
• Tools: Verwenden Sie Burp Sequencer, um die Zufälligkeit der Tokens zu analysieren.

Erratbare GUID

• Wenn GUIDs (z. B. Version 1) erratbar oder vorhersagbar sind, können Angreifer versuchen, sie durch Brute-Force zu generieren, um gültige Reset-Tokens zu erhalten.
• Maßnahmen zur Abhilfe:
• Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.
• Tools: Verwenden Sie guidtool zur Analyse und Generierung von GUIDs.

Antwortmanipulation: Ersetzen einer schlechten Antwort durch eine gute

• Manipulation von HTTP-Antworten, um Fehlermeldungen oder Einschränkungen zu umgehen.
• Maßnahmen zur Abhilfe:
• Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antwort sicherzustellen.
• Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.
• Referenz:
• Kritischer Fehler in Live-Bug-Bounty-Veranstaltung

Verwendung eines abgelaufenen Tokens

• Testen, ob abgelaufene Tokens immer noch für das Zurücksetzen des Passworts verwendet werden können.
• Maßnahmen zur Abhilfe:
• Implementieren Sie strenge Richtlinien für die Token-Verfallzeit und validieren Sie den Ablauf serverseitig.

Brute-Force-Passwort-Reset-Token

• Versuch, das Reset-Token durch Brute-Force mit Tools wie Burpsuite und IP-Rotator zu erzwingen, um IP-basierte Rate-Limits zu umgehen.
• Maßnahmen zur Abhilfe:
• Implementieren Sie robuste Rate-Limiting- und Kontosperrenmechanismen.
• Überwachen Sie verdächtige Aktivitäten, die auf Brute-Force-Angriffe hinweisen.

Versuchen Sie, Ihr Token zu verwenden

• Testen, ob ein von einem Angreifer generiertes Reset-Token in Verbindung mit der E-Mail des Opfers verwendet werden kann.
• Maßnahmen zur Abhilfe:
• Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.

Sitzungsinvalidierung beim Ausloggen/Passwort-Reset

• Stellen Sie sicher, dass Sitzungen ungültig werden, wenn ein Benutzer sich ausloggt oder sein Passwort zurücksetzt.
• Maßnahmen zur Abhilfe:
• Implementieren Sie eine ordnungsgemäße Sitzungsverwaltung und stellen Sie sicher, dass alle Sitzungen beim Ausloggen oder Passwort-Reset ungültig werden.

Sitzungsinvalidierung beim Ausloggen/Passwort-Reset

• Reset-Tokens sollten eine Ablaufzeit haben, nach der sie ungültig werden.
• Maßnahmen zur Abhilfe:
• Legen Sie eine angemessene Ablaufzeit für Reset-Tokens fest und erzwingen Sie diese strikt serverseitig.

Referenzen

• https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking-Einblicke
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen

Echtzeit-Hack-News
Bleiben Sie mit den schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert

Treten Sie uns bei auf Discord und beginnen Sie noch heute mit Top-Hackern zusammenzuarbeiten!

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merch
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.