聊聊密码找回 · Web 安全那些事儿

大部分网站为了防止用户遗忘密码，提供了找回密码的功能。常见的找回密码方式有：邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码，但实现方式各不相同。

其实无论是哪种密码找回方式，在找回密码时，除了自己的用户密码，如果还能找回其他用户的密码，就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是：熟悉业务流程（密码找回过程）与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解，具体内容包括：

用户凭证暴力破解
返回凭证
邮箱弱 token
用户凭证有效性
重新绑定

实录摘要：

密码找回怎么去利用到实战中，怎么去培养这样的思维？
如果是腾讯 QQ 这种需要验证手机才能登录的账号，怎么办？
通过撞库获取的账号密码是怎么一回事？
找回密码时有个提示检测是否处在安全环境，其后面的逻辑是怎样的？
密码找回，比较合理或者相对安全的实现思路是什么？
除了这种逻辑漏洞，其他可能造成用户账户不安全的有哪些？
遇到漏洞问题，请问这种情况下用户该怎么防范？
找回密码这个功能要安全，有什么方法不被破解有代码分享或者文章也行？
公众号对接的 Web APP 怎么实现记住密码？下次免登录吗？

WEB安全用户密码找回多案例安全攻防实战

这次文章以wooyun的密码找回代表性漏洞作为案例来讲解,漏洞的描述会通过提交漏洞的原描述加上我的理解一一列出，通过密码找回的过程描述，得出从漏洞的发现到漏洞的分析。

密码找回逻辑测试一般流程，首先尝试正常密码找回流程，选择不同找回方式，记录所有数据包，分析数据包，找到敏感部分，分析后台找回机制所采用的验证手段，修改数据包验证推测

内容主要是逻辑漏洞，技术性质的内容并不多，以发散思维为目标;所以web开发和安全同学都可以来看看

分享内容目录

用户凭证暴力破解
返回凭证
邮箱弱token
用户凭证有效性
重新绑定

enter image description here

一、用户凭证暴力破解

四位或者六位的纯数字例子。

微信任意用户密码修改漏洞

漏洞描述

在微信官方的首页上发现了找回密码功能。

点击链接之后看到这个功能.来了兴趣。

在这个页面输入一个已经注册了微信的手机号。

看到了下面的提示信息

点击“我已收到验证码”按钮，就跳转到一个修改密码的页面,如下

在这一步抓包.得到如下包文

code 区域check=false&phone=18666666666&t=w_password_phone&isemail=0&value=18666666666&method=reset&country=A86&getmethod=web&password=zzzzzz&password2=zzzzzz&verifycode=1234

将包文中的verifycode进行重复提交后，发现会提示下图的信息

这样的话.就要想办法去突破.

经过多次尝试后，发现如果在phone=18666666666的号码后面，添加不为数字的字符时,可以绕过这个重复提交的限制.于是我推理出了一个验证逻辑。如果phone=18666666666的尝试次数大于阀值,则提示请求过于频繁但在这一步之前没有对phone进行提纯.所以可以将特殊字符带入但在下一步的时候进行了提纯.只取了phone中的数字部分. 然后在取出此号码的verifycode进行比对. 比对成功则修改密码

修改密码成功. 这个地方的薄弱环节在于微信重置密码的验证码为4-5位纯数字. 且数字范围在1000-20000之间也就是说.我只要尝试19000次.我用50个线程发包.3分钟即可成功修改一个密码.

#### 原因：

虽然设置了请求阀值，但被猜解除了验证方式，并且找到了绕过方式，验证码为4-5位的数字容易爆破

二、返回凭证

天天网任意账户密码重置（二）

描述

之前看到天天网有爆出漏洞的案例，这次我看看还有没有，果然发现了一枚。

和之前的漏洞一样,打开了找回密码页面，按照了正常流程来找回密码，填好邮箱和验证码，点击下一步，然后抓包。

在抓取到的数据包中发现，返回数据中会返回一个加密字符串，这让我有点好奇心起来了,我把它记录下来。

还是按照了正常流程，打开了我的邮箱，看到了一封找回密码的邮件，我点击了里面的链接地址，进入如下的设置新密码的页面。

这个时候，我把之前记录到的可疑字符串和URL做了一下对比，发现之前的字符串就是当前页面URL最后的部分，竟然是同一个！那我推测，天天网的这个找回密码设计是有问题的，那个邮箱验证码就可以直接绕过了。

设置新密码的的URL为 http://login.tiantian.com/new/modify_password/加密字符串/

为了要验证我的猜测，我在这里用天天网客服 service@tiantian.com 做了一次测试。还是用上面的正常找回密码流程，然后抓包获取到加密字符串，然后组合到上面的设置新密码的url中，就成功重置了这个客服账号的密码了。给大家截个图看看。

原因

找回密码问题的答案在页面源码中可以看到。

三、邮箱弱token

奇虎360任意用户密码修改漏洞

描述

360是一个大厂，又是做安全业务的，很好奇它的网站安全性怎么样？

好奇的我做了一个测试，我首先按照正常流程走一次找回密码，打开邮箱，查看给我来的邮件内容：

360个人中心找回密码（重要）！

重设密码地址： http://i.360.cn/findpwd/setpwdfromemail?vc=c4ce4dd3d566ef83f9xxxxxxx&u=xxxx@gmail.com, 马上重设密码！如果您没有进行过找回密码的操作，请不要点击上述链接，并删除此邮件。

参数vc可以看出是一串32位字符的md5，通过cmd5.com网站解密后发现是个数字，类似1339744000，第一反应猜测是个用户id。我脑袋里马上出来了一个思路，遍历id并且修改u变量是不是可以修改任意用户密码呢？试了一下不可以。再仔细看了看这个数字，感觉比一般的用户ID大，反复看了几次，突然发现怎么像是个时间戳？

通过时间戳格式化发现，还真是一个时间戳！再次大胆的猜测了一下这里的流程，用户取回密码时，会产生一个精确的时间戳，和帐号绑定，记录在某个密码重置库内。

修改这个用户密码必须要知道绑定的时间戳才可以，从表面的逻辑来看，好像没问题。不过开发同学忽略了一个细节，什么细节呢？如果这个时间戳是新生成的，我在一定得时间段内进行暴力猜解，很快就可以获取到这个有效得链接。写了个利用工具测试一下。