漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0106567
漏洞标题:优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)
相关厂商:优酷
漏洞作者: 小手冰凉
提交时间:2015-04-08 15:06
修复时间:2015-05-23 18:42
公开时间:2015-05-23 18:42
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-08: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开
简要描述:
优酷某API缺陷导致撞库 查询VIP等
详细说明:
第一步:
使用android端优酷登录并抓包,获得如下数据包
打码有点乱不好意思。这里提交的字段有很多,经过进一步精简测试后得出如下可用数据包
可以看出只有这三个关键字段,用户名,密码(md5加密的),另外一个推测是类似于“method”的固定字段。这样就获得了优酷的私有登陆API。
有了登陆请求数据包就不难进行批量撞库,经测试,优酷进行了一定的限制,比如同一个用户测试次数(爆破)不可行,而且速度太快也不行。但是限制的不够彻底,如果程序使用单线程进行撞库还是有效的。
第二步:
使用如上数据包成功登陆后会返回类似token的字段。利用与上面相同的抓包精简方法找到查询VIP的API,{/common/v3/member_vip_info?pid=87c959fb273378eb} 只要带着刚才的"token"访问这个页面就可以获得VIP信息。
漏洞证明:
危害证明
这只是使用了一个公开库撞库的结果,想不到竟然有人vip时间这么久。
修复方案:
1.对API增加校验字段,校验算法用jni实现防止被简单反编译
2.限制单个ip登陆次数,无论是相同用户名还是不同用户名
版权声明:转载请注明来源 小手冰凉@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-04-08 18:41
厂商回复:
多谢提醒,已安排处理!
最新状态:
暂无