Comments 6
Как то совсем непонятно. Обычно же ссылки для сброса пароля на email приходят. Надо, значит, какой то реальный email указать. IP, с которого запрос приходит, да и информация об оборудовании, тоже фиксируется. Если сменил комп, владельцу аккаунта присылается сообщение об входе с нового устройства Тут же вроде и попытки войти (сменить пароль) нет. Про имя аккаунта - тоже ничего не сказано: кому то пересылается полученное письмо (явно не с адреса сервиса) и тот должен эту ссылку нажать? С какой стати? (если он не заказывал сброс). Странная и путанная статья.
Насколько я понял. Суть в том, что мы для целевой атаки на user@example.com отправляем ссылку на восстановление от имени легитимного сервера, но которая ведёт на наш ресурс.
Так при восстановлении старый пароль не вводишь :).
Ну и если юзеры готовы где попало его вводить, то надо брутфорсить юзеров, а не систему... Если ты не просил ссылку на сброс пароля, тебе пришло письмо, то зачем бы ты стал вообще ходить туда ? И зачем набирать там старый пароль ?
Логично.
Но зависит от того, какую форму сделать на стороне злоумышленника. Простор для соц.инженерии и фишинга огромный. Не 100% вариант, согласен, и брутить пользаков надо, да.
Я думаю, тут речь о другом.
Цепочка действий:
Мы инициируем отправку атакуемому нами пользователю на его почту сообщения по сбросу паролю со стороны официального сервера программы, но при этом подменяем хост в урле на свой
Т.к. ссылку отправляет официальный сервер программы, то почтовый сервер помечает данное сообщение как доверенное (да и пользователь видит корректный валидный адрес отправителя, и верит данному сообщению на 100%), а токен сброса пароля генерируется на официальном сервере программы и является полностью действительным и рабочим
Пользователь переходит по нашей немного изменённой ссылке, которая ведёт уже на наш сервер, но при этом содержит реальный действительный токен для сброса пароля, сгенерированный официальным сервером программы - и мы в этот момент получаем этот токен
После этого наш скрипт на нашем сервере за секунду заходит на реальную страницу сброса пароля на официальном сервере программы, и, используя полученный токен для сброса пароля, меняет пароль атакуемого пользователя на свой, после чего получает полный доступ к аккаунту
В результате получение полного доступа к аккаунту происходит по одному нажатию пользователем на одну ссылку. Достаточно элегантно.
Да и это довольно частая ситуация, когда пользователь при получении ссылки на сброс пароля - переходит по ней, чтобы "сменить пароль на всякий случай".
2 - вы серьезно :)?
Я прям даже не знаю. На пятнадцатилетних рассчитано ? Потому что те, кто постарше помнят времена, когда в поле from могло быть совершенно что угодно. Не проверяли его тогда толком.
Нормальный пользователь не пойдет вообще по ссылке, если сам не просил письма.
3 и 4 будет работать только если есть токен которым можно установить пароль, нормальная система после перехода пришлет вам новый пароль по почте.
Атаковать так можно, но это на уровне "звоню в охрану, очень срочно надо, прочитайте мне что там на коробочке написано кроме zyxel"
Полный захват аккаунта в одной из крупнейших компаний электронной коммерции