hacktricks/pentesting-web/reset-password.md

164 lines
9.7 KiB
Markdown

# Kupitisha Upya/Nenosha Nenosha
<details>
<summary><strong>Jifunze kuhusu kuhacki AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kuhacki kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
<figure><img src="../.gitbook/assets/image (377).png" alt=""><figcaption></figcaption></figure>
Jiunge na [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) server ili kuwasiliana na wakati wanao na wawindaji wa zawadi za mdudu!
**Machapisho ya Kuhacki**\
Shiriki na maudhui yanayochimba katika msisimko na changamoto za kuhacki
**Machapisho ya Kuhacki ya Wakati Halisi**\
Kaa sasa na ulimwengu wa kuhacki wenye kasi kupitia habari za wakati halisi na ufahamu
**Matangazo Mapya**\
Baki mwelekeo na matangazo mapya ya zawadi za mdudu yanayoanzishwa na sasisho muhimu ya jukwaa
**Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wakuhacki bora leo!
## **Kuvuja kwa Kitambulisho cha Upya wa Nenosha Kupitia Referrer**
* Kichwa cha HTTP referer kinaweza kuvuja kitambulisho cha upya wa nenosha ikiwa kitajumuishwa kwenye URL. Hii inaweza kutokea wakati mtumiaji anapobonyeza kiungo cha tovuti ya tatu baada ya kuomba upya wa nenosha.
* **Athari**: Kuchukua udhibiti wa akaunti kupitia mashambulizi ya Udukuzi wa Ombi la Msalaba (CSRF).
* **Virejeleo**:
* [Ripoti ya HackerOne 342693](https://hackerone.com/reports/342693)
* [Ripoti ya HackerOne 272379](https://hackerone.com/reports/272379)
* [Makala ya Kuvuja kwa Kitambulisho cha Upya wa Nenosha](https://medium.com/@rubiojhayz1234/toyotas-password-reset-token-and-email-address-leak-via-referer-header-b0ede6507c6a)
## **Udanganyifu wa Upya wa Nenosha**
* Wadukuzi wanaweza kudanganya kichwa cha Mwenyeji wakati wa maombi ya upya wa nenosha ili kuuelekeza kiungo cha upya kwenye tovuti yenye nia mbaya.
* **Kifuniko**: Tumia `$_SERVER['SERVER_NAME']` kutengeneza URL za upya wa nenosha badala ya `$_SERVER['HTTP_HOST']`.
* **Athari**: Inasababisha kuchukua udhibiti wa akaunti kwa kuvuja vitambulisho vya upya kwa wadukuzi.
* **Hatua za Kupunguza Hatari**:
* Thibitisha kichwa cha Mwenyeji dhidi ya orodha nyeupe ya uwanja kuruhusiwa.
* Tumia njia salama za upande wa seva kuzalisha URL za hakika.
* **Virejeleo**:
* [Makala ya Acunetix juu ya Udanganyifu wa Upya wa Nenosha](https://www.acunetix.com/blog/articles/password-reset-poisoning/)
## **Upya wa Nenosha kwa Kudhibiti Parameta ya Barua pepe**
* Wadukuzi wanaweza kudhibiti ombi la upya wa nenosha kwa kuongeza parameta za barua pepe ziada ili kuelekeza kiungo cha upya.
* **Hatua za Kupunguza Hatari**:
* Kata na thibitisha parameta za barua pepe kwa upande wa seva ipasavyo.
* Tumia taarifa zilizotayarishwa au maswali yaliyoparameta kuzuia mashambulizi ya kuingiza.
* **Virejeleo**:
* [Kuchukua Udhibiti wa Akaunti kupitia Readme.com](https://medium.com/@0xankush/readme-com-account-takeover-bugbounty-fulldisclosure-a36ddbe915be)
## **Kubadilisha Barua pepe na Nenosha la mtumiaji yeyote kupitia Parameta za API**
* Wadukuzi wanaweza kubadilisha parameta za barua pepe na nenosha katika maombi ya API ili kubadilisha sifa za akaunti.
* **Hatua za Kupunguza Hatari**:
* Hakikisha uthibitishaji wa parameta wa kali na ukaguzi wa uthibitishaji.
* Tekeleza kuingia kwa nguvu na ufuatiliaji imara kugundua na kujibu shughuli za shaka.
* **Virejeleo**:
* [Kuchukua Udhibiti kamili wa Akaunti kupitia Udanganyifu wa Parameta za API](https://medium.com/@adeshkolte/full-account-takeover-changing-email-and-password-of-any-user-through-api-parameters-3d527ab27240)
## **Hakuna Kikomo cha Kiwango: Bomba la Barua pepe**
* Kutokuwepo kwa kikomo cha kiwango kwenye maombi ya upya wa nenosha kunaweza kusababisha bomba la barua pepe, kumzidi mtumiaji kwa barua pepe za upya.
* **Hatua za Kupunguza Hatari**:
* Tekeleza kikomo cha kiwango kulingana na anwani ya IP au akaunti ya mtumiaji.
* Tumia changamoto za CAPTCHA kuzuia unyanyasaji wa moja kwa moja.
* **Virejeleo**:
* [Ripoti ya HackerOne 280534](https://hackerone.com/reports/280534)
## **Pata Jinsi Kitambulisho cha Upya wa Nenosha Kinavyozalishwa**
* Kuelewa muundo au njia nyuma ya uzalishaji wa kitambulisho kunaweza kusababisha kutabiri au kufanya nguvu za kitambulisho.
* **Hatua za Kupunguza Hatari**:
* Tumia njia imara, za kriptografia kwa uzalishaji wa kitambulisho.
* Hakikisha upungufu wa kutosha na urefu wa kuzuia utabirika.
* **Zana**: Tumia Burp Sequencer kuchambua upungufu wa kitambulisho.
## **GUID Inayoweza Kufikiriwa**
* Ikiwa GUIDs (k.m., toleo 1) zinaweza kufikiriwa au kutabirika, wadukuzi wanaweza kufanya nguvu kuzipata vitambulisho sahihi vya upya.
* **Hatua za Kupunguza Hatari**:
* Tumia GUID toleo 4 kwa utabiri au tekeleza hatua za usalama zaidi kwa toleo nyingine.
* **Zana**: Tumia [guidtool](https://github.com/intruder-io/guidtool) kwa kuchambua na kuzalisha GUIDs.
## **Udanganyifu wa Majibu: Badilisha Majibu Mabaya na Mema**
* Kudanganya majibu ya HTTP ili kuzidi ujumbe wa kosa au vizuizi.
* **Hatua za Kupunguza Hatari**:
* Tekeleza ukaguzi wa upande wa seva kuhakikisha uadilifu wa majibu.
* Tumia njia salama za mawasiliano kama HTTPS kuzuia mashambulizi ya mtu katikati.
* **Virejeleo**:
* [Kosa Kubwa katika Tukio la Zawadi ya Mdudu Moja kwa Moja](https://medium.com/@innocenthacker/how-i-found-the-most-critical-bug-in-live-bug-bounty-event-7a88b3aa97b3)
## **Kutumia Kitambulisho Kilichomalizika Muda**
* Jaribio la kuona ikiwa vitambulisho vilivyomalizika muda bado vinaweza kutumika kwa upya wa nenosha.
* **Hatua za Kupunguza Hatari**:
* Tekeleza sera kali za ukomo wa kitambulisho na thibitisha muda wa kitambulisho upande wa seva.
## **Nguvu ya Nenosha ya Nenosha ya Nenosha**
* Jaribio la kufanya nguvu ya kitambulisho cha upya kwa kutumia zana kama Burpsuite na IP-Rotator kuzidi mipaka ya kiwango cha IP.
* **Hatua za Kupunguza Hatari**:
* Tekeleza mifumo imara ya kikomo cha kiwango na kufunga akaunti.
* Fuatilia shughuli za shaka zinazoashiria mashambulizi ya nguvu.
## **Jaribu Kutumia Kitambulisho Chako**
* Jaribio la kuona ikiwa kitambulisho cha upya cha muhusika kinaweza kutumika pamoja na barua pepe ya muhanga.
* **Hatua za Kupunguza Hatari**:
* Hakikisha kuwa vitambulisho vinahusishwa na kikao cha mtumiaji au sifa zingine za mtumiaji.
## **Kufuta Kikao katika Kutoka/Upya wa Nenosha**
* Kuhakikisha kuwa vikao vinabatilishwa wakati mtumiaji anatoka au anapofanya upya wa nenosha.
* **Hatua za Kupunguza Hatari**:
* Tekeleza usimamizi sahihi wa kikao, kuhakikisha kuwa vikao vyote vinabatilishwa wakati wa kutoka au upya wa nenosha.
## **Kufuta Kikao katika Kutoka/Upya wa Nenosha**
* Vitambulisho vya upya vinapaswa kuwa na muda wa kumalizika baada ya hapo vinakuwa batili.
* **Hatua za Kupunguza Hatari**:
* Weka muda wa kumalizika wa kufaa kwa vitambulisho vya upya na uhakikishe kutekelezwa kwa nguvu upande wa seva.
## Marejeo
* [https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token](https://anugrahsr.github.io/posts/10-Password-reset-flaws/#10-try-using-your-token)
<figure><img src="../.gitbook/assets/image (377).png" alt=""><figcaption></figcaption></figure>
Jiunge na [**HackenProof Discord**](https://discord.com/invite/N3FrSbmwdy) server ili kuwasiliana na wadukuzi wenye uzoefu na wawindaji wa tuzo za makosa ya usalama!
**Machapisho ya Kudukua**\
Shiriki na maudhui yanayochimba kina katika msisimko na changamoto za kudukua
**Taarifa za Kudukua za Wakati Halisi**\
Kaa sawa na ulimwengu wa kudukua wenye kasi kupitia taarifa za wakati halisi na ufahamu
**Matangazo ya Karibuni**\
Baki mwelekezi na tuzo mpya za makosa ya usalama zinazozinduliwa na sasisho muhimu za jukwaa
**Jiunge nasi kwenye** [**Discord**](https://discord.com/invite/N3FrSbmwdy) na anza kushirikiana na wadukuzi bora leo!
<details>
<summary><strong>Jifunze kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
Njia nyingine za kusaidia HackTricks:
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
</details>