密碼找回邏輯漏洞總結（轉）

原帖地址：http://drops.wooyun.org/web/5048

0x00 背景介紹

---

請注意這兩篇文章：

密碼找回功能可能存在的問題

密碼找回功能可能存在的問題（補充）

距離上兩篇文檔過去近半年了，最近整理密碼找回的腦圖，翻開收集的案例，又出現了一些新的狀況，這裏一併將全部見到的案例總結並分享給你們，在測試時可根據這個框架挖掘！

0x01 密碼找回邏輯測試通常流程

---

• 首先嚐試正常密碼找回流程，選擇不一樣找回方式，記錄全部數據包
• 分析數據包，找到敏感部分
• 分析後臺找回機制所採用的驗證手段
• 修改數據包驗證推測

0x02 腦圖

---

0x03 詳情

---

用戶憑證暴力破解

---

四位或者六位的純數字 例子

WooYun: 噹噹網任意用戶密碼修改漏洞

WooYun: 微信任意用戶密碼修改漏洞

返回憑證

---

url返回驗證碼及token 例子

WooYun: 走秀網秀團任意密碼修改缺陷

WooYun: 每天網任意帳戶密碼重置（二）

密碼找回憑證在頁面中

---

經過密保問題找回密碼 例子

WooYun: sohu郵箱任意用戶密碼重置

返回短信驗證碼

---

例子

WooYun: 新浪某站任意用戶密碼修改（驗證碼與取回邏輯設計不當）

郵箱弱token

---

時間戳的md5 例子

WooYun: 奇虎360任意用戶密碼修改漏洞

用戶名 & 服務器時間

---

WooYun: 中興某網站任意用戶密碼重置漏洞（經典設計缺陷案例）

用戶憑證有效性

---

短信驗證碼 例子

WooYun: OPPO手機重置任意帳戶密碼（3）

WooYun: 第二次重置OPPO手機官網任意帳戶密碼（秒改）

WooYun: OPPO修改任意賬號密碼

郵箱token

---

例子

WooYun: 身份通任意密碼修改-泄漏大量公民信息

重置密碼token

---

例子

WooYun: 魅族的帳號系統內存在漏洞可致使任意帳戶的密碼重置

從新綁定

---

手機綁定 例子

WooYun: 網易郵箱可直接修改其餘用戶密碼

WooYun: 12308可修改任意用戶密碼

郵箱綁定

---

例子

WooYun: 某彩票設計缺陷可修改任意用戶密碼

WooYun: 中國工控網任意用戶密碼重置漏洞

服務器驗證

---

最終提交步驟 例子

WooYun: 攜程旅行網任意老闆密碼修改(慶在wooyun第100洞)

服務器驗證可控內容

---

例子

WooYun: AA拼車網之任意密碼找回2

WooYun: 四川我要去哪517旅行網重置任意帳號密碼漏洞

服務器驗證驗證邏輯爲空

---

例子

WooYun: 某政企使用郵件系統疑似存在通用設計問題

用戶身份驗證

---

帳號與手機號碼的綁定

WooYun: 上海電信通行證任意密碼重置

帳號與郵箱帳號的綁定

---

例子

WooYun: 魅族的帳號系統內存在漏洞可致使任意帳戶的密碼重置

WooYun: 和訊網修改任意用戶密碼漏洞

找回步驟

---

跳過驗證步驟、找回方式，直接到設置新密碼頁面 例子

WooYun: OPPO手機同步密碼隨意修改，短信通信錄隨意查看

WooYun: 中國電信某IDC機房信息安全管理系統設計缺陷導致系統淪陷

本地驗證

---

在本地驗證服務器的返回信息，肯定是否執行重置密碼，可是其返回信息是可控的內容，或者能夠獲得的內容 例子

WooYun: 看我如何重置樂峯網供應商管理系統任意用戶密碼（管理員已被重置）

WooYun: oppo重置任意用戶密碼漏洞(4)

發送短信等驗證信息的動做在本地進行，能夠經過修改返回包進行控制

---

例子

WooYun: OPPO修改任意賬號密碼-3

WooYun: OPPO修改任意賬號密碼-2

注入

---

在找回密碼處存在注入漏洞 例子

WooYun: 用友人力資源管理軟件（e-HR）另外一處SQL注入漏洞（通殺全部版本）

Token生成

---

token生成可控 例子

WooYun: 每天網任意帳號密碼重置(非暴力溫柔修改)

WooYun: 每天網再一次重置任意帳號密碼(依舊非暴力)

註冊覆蓋

---

註冊重複的用戶名 例子

WooYun: 中鐵快運奇葩方式重置任意用戶密碼(admin用戶演示)

session覆蓋

---

例子

WooYun: 聚美優品任意修改用戶密碼(非爆破)