我的首个漏洞:通过密码重置实现邮箱枚举
作者:Zouhair Ake
大家好!我是Zouhair,很高兴与大家分享我的第一篇文章。
根据项目规则,我不能使用真实姓名,所以我们将使用"大象"作为昵称来代指真实姓名。
当我开始学习漏洞赏金时,一直梦想着找到自己的第一个真正漏洞。经过一些侦察和测试后,我终于发现了一个有趣的问题——通过密码重置功能实现的经典邮箱枚举漏洞。
这个漏洞可能看起来很小,但对我来说是个很好的教训,我想在这里分享详细信息。
开始侦察
在我的侦察过程中,发现了一个用于大象公司内部员工的域名。这立即引起了我的好奇心——这个门户网站是否会泄露有关这些员工的信息?
在那里我注意到一个"忘记密码"选项——这是寻找潜在问题的绝佳位置。
深入分析密码重置功能
我点击了"忘记密码",输入了一个随机邮箱,并使用Burp Suite拦截了请求。
对于不存在的邮箱(如test123@gmail.com),API返回:
|
|
在网上搜索后,我找到了一个真实的员工邮箱进行测试:
|
|
砰💥——有效账户和无效账户之间存在明显差异。
为什么这个问题很重要
起初,这可能看起来无害。但实际上,这个漏洞允许任何人:
- 枚举哪些员工邮箱是有效的
- 将该信息用于网络钓鱼或定向钓鱼攻击
- 尝试使用其他泄露事件中的密码进行凭据填充攻击
- 绘制公司的内部用户结构图
如何修复
修复方法也很简单:
无论邮箱是否存在,始终返回通用消息。例如:
|
|
该漏洞被归类为中等严重性。
我的收获
这个漏洞教会我永远不要忽视小细节。即使是一个简单的JSON差异也可能暴露敏感信息。侦察+好奇心=我的第一次胜利!
结论
这可能不是最大或最关键的漏洞,但这个漏洞给了我继续从事漏洞赏金的信心和动力。在这里分享它是我记住起点的方式,也是帮助初学者看到即使是"简单"的发现也很重要的方式。