当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103382

漏洞标题:搜狗号码通网站设计缺陷导致可暴力获取联系人数据

相关厂商:搜狗

漏洞作者: nyexia

提交时间:2015-03-24 11:40

修复时间:2015-05-09 14:38

公开时间:2015-05-09 14:38

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-24: 细节已通知厂商并且等待厂商处理中
2015-03-25: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向核心白帽子及相关领域专家公开
2015-04-14: 细节向普通白帽子公开
2015-04-24: 细节向实习白帽子公开
2015-05-09: 细节向公众公开

简要描述:

搜狗号码通网站的查询页面(http://haoma.sogou.com/rz/),因为对访问频率的限制上存在防护缺陷,导致可暴力跑数据,会导致大量的用户标记的联系人数据的泄露。

详细说明:

1、搜狗号码通是个移动设备的APP,同时网站上提供号码的标记查询功能

0.jpg


测试最初.jpg


2、想着会不会出现可以暴力跑数据的情况,测试的时候,通过遍历URL中的号码字段进行尝试,发现跑不到200个之后会被拦截

url暴力.jpg


正常url测试.jpg


3、通过分析查询过程的请求包发现:每次请求是发两个包,但我们查询的结果已经存在第一个包的返回数据中,如果服务器并没有对第一个包的请求频率进行限制,通过模拟浏览器的行为,只处理第一个包,可以达到暴力跑数据的效果。

2.jpg


3.jpg


总结:联系人数据属于敏感数据,该网站对防止暴力爬取的策略逻辑上存在疏漏,只防护了search_result.php页面,但由于设计疏漏,标记的号码数据在前一个数据包中已经返回,同时未对前一个访问请求进行频率限制,利用该疏漏,可暴力爬取号码数据。

漏洞证明:

首先声明:漏洞测试只持续了2个小时,并未大量获取数据
单线程测试时间:约每分钟能跑100个,一直不会被拦截。
1、测试程序

测试程序.jpg


2、示例结果数据

d3.jpg


d2.jpg


d1.jpg

修复方案:

建议:
1、对最初的查询入口(http://haoma.sogou.com/rz/)进行访问频率的限制
2、梳理所有可能的查询入口,进行访问频率限制

版权声明:转载请注明来源 nyexia@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-03-25 14:37

厂商回复:

感谢支持

最新状态:

2015-03-25:已修复