价值10000美元的Uber漏洞,可随意重置任何账户的密码

小二郎 新闻 2017年5月20日发布
Favorite收藏

导语:近日,一名意大利安全专家在Uber系统中发现了一个关键的身份验证不当漏洞,利用该漏洞,攻击者可以对任何账户重新设置密码。

Uber曝出“密码重置”漏洞

近日,一名意大利安全专家在Uber系统中发现了一个关键的身份验证不当漏洞,利用该漏洞,攻击者可以对任何账户重新设置密码。

意大利安全专家Vincenzo C(网名为@Procode701)在7个月前就发现了Uber平台存在这一关键漏洞,该漏洞允许攻击者对任何Uber帐户重置密码。据悉,该研究人员通过Uber在Hackerone平台发布的“漏洞悬赏计划”报告了该“不正确的身份验证”漏洞。

Uber发布的漏洞摘要指出,

只需要通过一个Uber有效帐户的电子邮件地址,任何人都可以接管该账户,因为重置令牌在密码重置HTTP请求的响应中就会暴露。这就意味着,攻击者可以为用户账户启动密码重置请求,并接收该账户的重置令牌。

Uber进一步表示,

我们认为用户数据的安全性是至关重要的,所以我们对Procode701提交的安全报告非常重视。此外,很荣幸Procode701可以与我们合作,期待未来可以为我们提供更多的安全报告和建议。

这名意大利专家在密码重置过程中发现了一个非常严重的问题,可能会被用来生成可以用于更改任何账户密码的“inAuthSessionID”身份验证令牌。

Procode701还进一步透露了更多详细信息,他说,只需要使用任何有效Uber帐户的电子邮件地址来发送密码重置请求,回复信息中就会包含“inAuthSessionID”会话令牌。每次用户发送密码重置电子邮件时,Uber平台都会生成特定的会话令牌。

password.png

一旦获得“inAuthSessionID”会话令牌,攻击者就可以使用更改密码表单中存在的标准链接更改密码。

2.png

1.  https://auth.uber.com/login/stage/PASTE,会话ID <—通过发送重置密码邮件生成的inAuthSessionID/af9b9d0c-bb98-41de-876c-4cb911c79bd1 <–没有截止日期的tokenID。

POST /login/handleanswer HTTP/1.1 Host: auth.uber.com 
{ "init": false, 
   "answer": { 
      "type": "PASSWORD_RESET_WITH_EMAIL", 
      "userIdentifier": { 
          "email": "xxxx@uber.com" 
      } 
   } 
}
Reply
HTTP/1.1 200 OK 

{ 
     "inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28", 
     "stage": { 
         "question": { 
                       "signinToken": "", 
                       "type": "VERIFY_PASSWORD_RESET", 
                        "tripChallenges": [] 
                     }, 
                     "alternatives": [] 
      } 
}

该漏洞的影响是非常严重的,它允许攻击者访问任何账户和任何用户的数据,包括身份证号码、银行数据、驱动程序许可甚至财务数据等。

漏洞时间线:

2016年10月2日——将漏洞报告给Uber公司;

2016年10月4日——漏洞审核;

2016年10月6日——漏洞修复;

2016年10月18日——授予研究人员10000美元现金奖励。

本文翻译自http://securityaffairs.co/wordpress/59210/hacking/uber-improper-authentication.html,如若转载,请注明原文地址: http://www.4hou.com/info/news/4855.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    尹依玉 2017-05-22 11:25

    uber速度挺快…