本文讲的是价值10000美元的Uber漏洞,可随意重置任何账户的密码,
Uber曝出“密码重置”漏洞
近日,一名意大利安全专家在Uber系统中发现了一个关键的身份验证不当漏洞,利用该漏洞,攻击者可以对任何账户重新设置密码。
意大利安全专家Vincenzo C(网名为@Procode701)在7个月前就发现了Uber平台存在这一关键漏洞,该漏洞允许攻击者对任何Uber帐户重置密码。据悉,该研究人员通过Uber在Hackerone平台发布的“漏洞悬赏计划”报告了该“不正确的身份验证”漏洞。
Uber发布的漏洞摘要指出,
只需要通过一个Uber有效帐户的电子邮件地址,任何人都可以接管该账户,因为重置令牌在密码重置HTTP请求的响应中就会暴露。这就意味着,攻击者可以为用户账户启动密码重置请求,并接收该账户的重置令牌。
Uber进一步表示,
我们认为用户数据的安全性是至关重要的,所以我们对Procode701提交的安全报告非常重视。此外,很荣幸Procode701可以与我们合作,期待未来可以为我们提供更多的安全报告和建议。
这名意大利专家在密码重置过程中发现了一个非常严重的问题,可能会被用来生成可以用于更改任何账户密码的“inAuthSessionID”身份验证令牌。
Procode701还进一步透露了更多详细信息,他说,只需要使用任何有效Uber帐户的电子邮件地址来发送密码重置请求,回复信息中就会包含“inAuthSessionID”会话令牌。每次用户发送密码重置电子邮件时,Uber平台都会生成特定的会话令牌。
一旦获得“inAuthSessionID”会话令牌,攻击者就可以使用更改密码表单中存在的标准链接更改密码。
1. https://auth.uber.com/login/stage/PASTE,会话ID <—通过发送重置密码邮件生成的inAuthSessionID/af9b9d0c-bb98-41de-876c-4cb911c79bd1 <–没有截止日期的tokenID。
POST /login/handleanswer HTTP/1.1 Host: auth.uber.com
{ "init": false,
"answer": {
"type": "PASSWORD_RESET_WITH_EMAIL",
"userIdentifier": {
"email": "xxxx@uber.com"
}
}
}
Reply
HTTP/1.1 200 OK
{
"inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28",
"stage": {
"question": {
"signinToken": "",
"type": "VERIFY_PASSWORD_RESET",
"tripChallenges": []
},
"alternatives": []
}
}
该漏洞的影响是非常严重的,它允许攻击者访问任何账户和任何用户的数据,包括身份证号码、银行数据、驱动程序许可甚至财务数据等。
漏洞时间线:
2016年10月2日——将漏洞报告给Uber公司;
2016年10月4日——漏洞审核;
2016年10月6日——漏洞修复;
2016年10月18日——授予研究人员10000美元现金奖励。
原文发布时间为:2017年5月20日
本文作者:小二郎
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。