漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-055777
漏洞标题:联通某音乐分站重置任意账户漏洞(两处)
相关厂商:中国联通
漏洞作者: Comer
提交时间:2014-04-06 21:21
修复时间:2014-05-21 21:21
公开时间:2014-05-21 21:21
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-04-06: 细节已通知厂商并且等待厂商处理中
2014-04-11: 厂商已经确认,细节仅向厂商公开
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-21: 细节向公众公开
简要描述:
Free - Sarah Brightman,我来了...
详细说明:
登陆前是一处。另一处在修改绑定邮箱。
60秒失效这功能没实现~
填完要重置的手机号,确认并截获请求
对smscheckcode实施爆破。
以便于测试,我这里只对554100 - 554600之间验证code做尝试。
成功请求的字节长度跟其他不一致(很多真实战况里爆破条数较多,可以事先测试看成功时返回的关键字是什么,然后做 filter, 比如此时的 success)。这里做证明就不过滤了。
这里比较有意识的是,当成功时后端直接颁发session信息过来,这边刷新页面就是登陆状态了。
其中wap站登陆包括后续购买彩铃这些操作都需要这个短信验证
爆破这块只针对绑定手机的用户,绑定邮箱的怎么办呢?
说起CSRF,就有局限性了,毕竟面对的是登陆用户。是。不过这个不用构造表单这些只许一个URL即可。
修改绑定邮箱处,无任何前置的验证,直接可修改
看了下之后的请求
email就是要修改的邮箱,类似unix时间戳的 _ 参数真身是验证码一个 rondom 值,找一加载验证码的地儿重新获取即可。
测试方法:登陆状态的A访问b所构造的URL。
找了一圈儿只在一个response中发现有展示邮箱的地儿,但也看不到用户名(PS还是不要了,完全不会...)。所以邮箱这块就不截图了。
只上一张后续重置成功的图
顺便说下拿邮箱来找回密码,确认邮件中的密码是明文的。
漏洞证明:
见上
修复方案:
各敏感的接口得做好验证啊。有交互性的操作附加Token令牌啊。
版权声明:转载请注明来源 Comer@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2014-04-11 14:13
厂商回复:
已经转由CNCERT下发给安徽分中心处置。
最新状态:
暂无