我的第一个漏洞：通过密码重置实现邮箱枚举

大家好！我是Zouhair，很高兴与大家分享我的第一篇文章。

在开始之前，根据项目规则，我不能使用真实姓名，我们将用"大象"作为代称。

当我开始学习漏洞赏金时，一直梦想着找到第一个真正的漏洞。经过一些侦察和测试后，我终于发现了一个有趣的问题——通过密码重置功能实现的经典邮箱枚举漏洞。

这个漏洞可能看起来很小，但对我来说是个重要的教训，我想在这里分享细节。

侦察过程

在侦察期间，我发现了一个用于内部大象员工的域名。这立即引起了我的好奇心——这个门户网站是否会泄露员工信息？

在那里我注意到了"忘记密码"选项——这是寻找潜在问题的完美位置。

深入密码重置功能

我点击了"忘记密码"，输入了一个随机邮箱，并使用Burp Suite拦截了请求。

对于不存在的邮箱（如test123@gmail.com），API返回：

1

{"username":"Member Not Found"}

经过在线搜索后，我找到了一个真实的员工邮箱进行测试：

1

{"message":"Reset Password Link Sent","success":true}

💥 有效和无效账户之间存在明显差异。

漏洞的重要性

乍看之下，这可能似乎无害。但实际上，这个漏洞允许任何人：

• 枚举哪些员工邮箱是有效的
• 利用该信息进行网络钓鱼或定向钓鱼攻击
• 尝试使用其他泄露的密码进行凭证填充攻击
• 映射公司的内部用户结构

修复方案

修复方法也很简单：无论邮箱是否存在，都返回通用消息。例如：

1

{"message":"如果该邮箱与账户关联，您将收到密码重置链接。"}

该漏洞被归类为中等严重程度。

经验总结

这个漏洞教会我永远不要忽视小细节。即使是一个简单的JSON差异也可能暴露敏感信息。侦察+好奇心=我的第一次成功！

结论

这可能不是最大或最关键的漏洞，但这个漏洞给了我继续从事漏洞赏金计划的信心和动力。在这里分享它是我记录起点的方式，也是帮助初学者看到即使"简单"的发现也很重要。