HackerOne | 由Token泄露引发的严重漏洞

漏洞信息

发现者：Alex Birsan 漏洞种类：信息泄露 危害等级：严重 漏洞状态：已修复

前 言

Alex Birsan发现了Recaptcha实现所使用JS文件的token身份凭证信息。借助XSS攻击获取其他用户的token身份凭证，当用户访问其恶意登录链接输入凭证后，便会触发身份验证获取到用户密码。

漏洞再现

Alex Birsan在网站登录表单中，发现了一个javascript文件，里面似乎包含了CSRF token和session ID信息。

然后通过一些简单且快速的测试，利用xss漏洞攻击，可以获取受害者有效的身份凭证。

然而，好的攻击方式取决于你对它的攻击利用。所以我不仅仅只是满足于这样，决定从_csrf和_sessionID参数内容，看看它们是否能够进行实际情况利用。 然后我进行了大量的测试，不断地将_csrf和_sessionID参数进行替换。很遗憾，还是没有能够成功进行绕过攻击。

而后我重新返回我们的测试语句，发现PayPal原来存在这验证机制用来防止暴力破解攻击。

而我继续进行深究看见，我们如果进行了暴力破解后，网站就会返回一个身份验证的页面，其中就包含上述的Goole验证码，当用户成功输入验证码后，则会对/auth/validatacaptcha页面进行POST请求。

而之后返回的信息当中，包含着自动提交表单，里面有用户登录请求的所有参数（包括电子邮件和纯文本密码）。

可以利用这种手段，构造新的登录请求，获取reCAPTCHA参数令牌，对/auth/validatacaptcha进行检索数据，并将其显示在页面上。

漏洞影响

获取用户邮箱帐号和密码等敏感信息。