hacktricks/pentesting-web/reset-password.md

Zurücksetzen/Passwort vergessen umgehen

Lernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegramm-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Insights
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen.

Echtzeit-Hack-News
Bleiben Sie mit der schnelllebigen Hacking-Welt durch Echtzeit-Nachrichten und Einblicke auf dem Laufenden.

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattformupdates informiert.

Treten Sie uns auf Discord bei und arbeiten Sie noch heute mit Top-Hackern zusammen!

Passwort-Reset-Token-Leak über Referrer

• Der HTTP-Referer-Header kann den Passwort-Reset-Token preisgeben, wenn er in der URL enthalten ist. Dies kann auftreten, wenn ein Benutzer nach dem Anfordern eines Passwort-Resets auf einen Link einer Drittanbieter-Website klickt.
• Auswirkungen: Potenzielle Übernahme des Kontos durch Cross-Site Request Forgery (CSRF)-Angriffe.
• Referenzen:

• HackerOne-Bericht 342693
• HackerOne-Bericht 272379
• Artikel zum Passwort-Reset-Token-Leak

Passwort-Reset-Vergiftung

• Angreifer können den Host-Header bei Passwort-Reset-Anfragen manipulieren, um den Reset-Link auf eine bösartige Website umzuleiten.
• Patch: Verwenden Sie $_SERVER['SERVER_NAME'], um Passwort-Reset-URLs zu erstellen, anstatt $_SERVER['HTTP_HOST'] zu verwenden.
• Auswirkungen: Führt zu potenzieller Übernahme des Kontos durch das Preisgeben von Reset-Token an Angreifer.
• Schritte zur Minderung:

• Überprüfen Sie den Host-Header anhand einer Whitelist zulässiger Domains.
• Verwenden Sie sichere, serverseitige Methoden zur Generierung absoluter URLs.

• Referenzen:

• Acunetix-Artikel zur Passwort-Reset-Vergiftung

Passwort-Reset durch Manipulation des E-Mail-Parameters

• Angreifer können die Passwort-Reset-Anfrage manipulieren, indem sie zusätzliche E-Mail-Parameter hinzufügen, um den Reset-Link umzuleiten.
• Schritte zur Minderung:

• Parsen und validieren Sie E-Mail-Parameter serverseitig ordnungsgemäß.
• Verwenden Sie vorbereitete Anweisungen oder parameterisierte Abfragen, um Injection-Angriffe zu verhindern.

• Referenzen:

• Accountübernahme bei Readme.com

Ändern von E-Mail und Passwort eines beliebigen Benutzers über API-Parameter

• Angreifer können E-Mail- und Passwortparameter in API-Anfragen ändern, um Kontozugangsdaten zu ändern.
• Schritte zur Minderung:

• Stellen Sie eine strenge Parametervalidierung und Authentifizierungsprüfung sicher.
• Implementieren Sie robustes Logging und Monitoring, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

• Referenz:

• Vollständige Übernahme des Kontos durch API-Parametermanipulation

Keine Ratebegrenzung: E-Mail-Bombardierung

• Fehlende Ratebegrenzung bei Passwort-Reset-Anfragen kann zu einer E-Mail-Bombardierung führen, bei der der Benutzer mit Reset-E-Mails überflutet wird.
• Schritte zur Minderung:

• Implementieren Sie eine Ratebegrenzung basierend auf IP-Adresse oder Benutzerkonto.
• Verwenden Sie CAPTCHA-Herausforderungen, um automatischen Missbrauch zu verhindern.

• Referenzen:

• HackerOne-Bericht 280534

Ermitteln, wie der Passwort-Reset-Token generiert wird

• Das Verständnis des Musters oder der Methode hinter der Token-Generierung kann dazu führen, dass Tokens vorhergesagt oder durch Brute-Force ermittelt werden.
• Schritte zur Minderung:

• Verwenden Sie starke, kryptografische Methoden zur Token-Generierung.
• Stellen Sie ausreichende Zufälligkeit und Länge sicher, um Vorhersagbarkeit zu verhindern.

• Tools: Verwenden Sie Burp Sequencer, um die Zufälligkeit der Tokens zu analysieren.

Erratbare GUID

• Wenn GUIDs (z. B. Version 1) erratbar oder vorhersagbar sind, können Angreifer sie durch Brute-Force ermitteln, um gültige Reset-Tokens zu generieren.
• Schritte zur Minderung:

• Verwenden Sie GUID-Version 4 für Zufälligkeit oder implementieren Sie zusätzliche Sicherheitsmaßnahmen für andere Versionen.

• Tools: Verwenden Sie guidtool, um GUIDs zu analysieren und zu generieren.

Manipulation der Antwort: Ersetzen einer schlechten Antwort durch eine gute Antwort

• Manipulation von HTTP-Antworten, um Fehlermeldungen oder Einschränkungen zu umgehen.
• Schritte zur Minderung:

• Implementieren Sie serverseitige Überprüfungen, um die Integrität der Antwort sicherzustellen.
• Verwenden Sie sichere Kommunikationskanäle wie HTTPS, um Man-in-the-Middle-Angriffe zu verhindern.

• Referenz:

• Kritischer Fehler in Live-Bug-Bounty-Event

Verwendung eines abgelaufenen Tokens

• Testen, ob abgelaufene Tokens immer noch für das Zurücksetzen des Passworts verwendet werden können.
• Schritte zur Minderung:

• Implementieren Sie strenge Token-Verfallsrichtlinien und validieren Sie den Token-Verfall serverseitig.

Brute-Force-Passwort-Reset-Token

• Versuch, das Reset-Token mithilfe von Tools wie Burpsuite und IP-Rotator durch Brute-Force zu ermitteln, um IP-basierte Rate-Limits zu umgehen.
• Schritte zur Minderung:

• Implementieren Sie robuste Rate-Limiting- und Kontosperrmechanismen.
• Überwachen Sie verdächtige Aktivitäten, die auf Brute-Force-Angriffe hinweisen.

Versuchen Sie, Ihr Token zu verwenden

• Testen, ob das Reset-Token eines Angreifers in Verbindung mit der E-Mail des Opfers verwendet werden kann.
• Schritte zur Minderung:

• Stellen Sie sicher, dass Tokens an die Benutzersitzung oder andere benutzerspezifische Attribute gebunden sind.

Sitzungsinvalidierung bei Abmeldung/Passwort-Reset

• Stellen Sie sicher, dass Sitzungen ungültig werden, wenn ein Benutzer sich abmeldet oder sein Passwort zurücksetzt.
• Schritte zur Minderung:

• Implementieren Sie eine ordnungsgemäße S

Referenzen

• https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token

Treten Sie dem HackenProof Discord Server bei, um mit erfahrenen Hackern und Bug-Bounty-Jägern zu kommunizieren!

Hacking Insights
Beschäftigen Sie sich mit Inhalten, die sich mit dem Nervenkitzel und den Herausforderungen des Hackens befassen.

Echtzeit-Hack-News
Bleiben Sie mit den neuesten Nachrichten und Erkenntnissen aus der schnelllebigen Hacking-Welt auf dem Laufenden.

Neueste Ankündigungen
Bleiben Sie über die neuesten Bug-Bounties und wichtige Plattform-Updates informiert.

Treten Sie uns bei Discord bei und beginnen Sie noch heute mit der Zusammenarbeit mit Top-Hackern!

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories senden.