脆弱性の本質はどこでも同じです。パスワードの回復時に論理エラーが使用されたため、ユーザーの正当性チェック(セキュリティの質問への回答など)をバイパスして新しいパスワードを設定できました。
Hotmailビデオデモ:
どうやら、脆弱性はすでにカバーされています。 なぜなら 私はそれらを使用できませんでした。 ただし、アクションを繰り返すには、十分なデータがありません。 たとえば、Yahooの場合、POST要求でZ変数を変更する必要がある理由は謎のままでした。 また、Hotmailの場合、 __ V_SecretAnswerProof変数に何を割り当てるかが明確ではありません。 しかし、上記のビデオは、脆弱性が存在した証拠です。
Hotmailの場合、被害者がパスワードを回復するために別の電子メールアドレスを使用した場合、脆弱性は機能しました。 Hotmailでは、セキュリティの質問に答えることでパスワードを回復することもできます。 ただし、このケースではエクスプロイトは提供されていません。
現時点では、AOLはハッキングなしの通常のリカバリ中でもエラーを返します。
ごめんなさい パスワードをリセットする情報はありません。
さらにサポートが必要な場合は、1-855-PWRESET(855-797-3738)、月曜日から日曜日、午前8時から午後10時(EST)までお電話ください。
これがアカウントであることを確認してください
次のいずれかのオプションを選択して本人確認を行ってください。
予備のメールアドレス
お支払い情報
アカウントのセキュリティに関する質問