我的第一个漏洞:通过密码重置实现邮箱枚举
作者:Zouhair Ake
大家好!我是Zouhair,很高兴与大家分享我的第一篇文章。
在开始之前,根据项目规则我不能使用真实姓名,我们将用"大象"作为代称。
当我开始学习漏洞赏金时,一直梦想着找到自己的第一个真实漏洞。经过一些侦察和测试后,我终于发现了一个有趣的问题——通过密码重置功能实现的经典邮箱枚举漏洞。
这个漏洞可能看起来很小,但对我来说是个很好的教训,我想在这里分享细节。
开始探索
在侦察过程中,我发现了一个用于内部大象员工的域名。这立即引起了我的好奇——这个门户网站是否会泄露员工信息?
在那里我注意到了"忘记密码"选项——这是寻找潜在问题的完美场所。
深入密码重置功能
我点击了"忘记密码",输入了一个随机邮箱,并使用Burp Suite拦截了请求。
对于不存在的邮箱(如test123@gmail.com),API返回:
{"username":"Member Not Found"}
在网上搜索后,我找到了一个真实的员工邮箱进行测试:
{"message":"Reset Password Link Sent","success":true}
💥 爆炸性发现——有效和无效账户之间存在明显差异。
为什么这个问题很重要
乍看之下,这可能似乎无害。但实际上,这个漏洞允许任何人:
- 枚举哪些员工邮箱是有效的
- 利用该信息进行网络钓鱼或定向钓鱼攻击
- 尝试使用其他泄露的密码进行凭证填充攻击
- 映射公司的内部用户结构
如何修复
修复方法也很简单:
无论邮箱是否存在,始终返回通用消息。例如:
{"message":"如果此邮箱与账户关联,您将收到密码重置链接。"}
该漏洞被归类为中等严重程度。
我的收获
这个漏洞教会了我永远不要忽视小细节。即使是一个简单的JSON差异也可能暴露敏感信息。侦察+好奇心=我的第一次胜利!
结论
这可能不是最大或最关键的漏洞,但这个漏洞给了我继续从事漏洞赏金项目的信心和动力。在这里分享它是我记录起点的方式,也是帮助初学者看到即使"简单"的发现也很重要的方式。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
