当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112025

漏洞标题:UC某站接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商:UC Mobile

漏洞作者: 路人甲

提交时间:2015-05-05 11:21

修复时间:2015-06-19 11:46

公开时间:2015-06-19 11:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-05: 细节已通知厂商并且等待厂商处理中
2015-05-05: 厂商已经确认,细节仅向厂商公开
2015-05-15: 细节向核心白帽子及相关领域专家公开
2015-05-25: 细节向普通白帽子公开
2015-06-04: 细节向实习白帽子公开
2015-06-19: 细节向公众公开

简要描述:

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。

详细说明:

社区登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号。 登录接口抓包如下:

POST /member.php?mod=logging&action=login&loginsubmit=yes&loginhash=LMrqS HTTP/1.1
Host: bbs.uc.cn
Proxy-Connection: keep-alive
Content-Length: 134
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://bbs.uc.cn
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://bbs.uc.cn/member.php?mod=logging&action=login&referer=
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: Hm_lvt_c337010bc5a1154d2fb6741a4d77d226=1430384064,1430718991; Hm_lpvt_c337010bc5a1154d2fb6741a4d77d226=1430718991; r9xU_e63c_saltkey=Lx7o7xi2; r9xU_e63c_lastvisit=1430715389; r9xU_e63c_wa_uuid=wa55470a0d7bcf1; __utma=228792728.1852356858.1430384064.1430718991.1430719206.3; __utmc=228792728; __utmz=228792728.1430719206.3.3.utmcsr=baidu|utmccn=(organic)|utmcmd=organic|utmctr=uc%E8%B4%A6%E5%8F%B7; r9xU_e63c_sendmail=1; _gat=1; r9xU_e63c_sid=Y3CcE0; pgv_pvi=5548522310; pgv_info=ssi=s2181806200; Hm_lvt_fa2e15502e6376a1cf835ae52829893d=1430718997; Hm_lpvt_fa2e15502e6376a1cf835ae52829893d=1430727728; CNZZDATA1000400574=1034393935-1430717354-http%253A%252F%252Fwww.uc.cn%252F%7C1430722759; _ga=GA1.2.1852356858.1430384064; _UP_D_=pc; _UP_L_=zh; r9xU_e63c_lastact=1430727726%09account.php%09cas
RA-Ver: 2.10.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
Connection: close
formhash=5106b870&referer=http%3A%2F%2Fbbs.uc.cn%2F&username=wseyb@126%2ecom&password=wseyb54218&questionid=0&answer=&loginsubmit=true

漏洞证明:

经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号.

mask 区域 
*****ayload1*****
*****l.com	27*****
*****o.cn	as*****
*****.com	b*****
*****ail.com	*****
*****ive.cn	*****
*****q.com	*****
*****.com	27*****
*****com	123*****
*****.com	6*****
*****m.com	2*****
*****com	ki*****
*****.com	w*****
*****163.com	5*****
*****.cn	xyz6*****
*****se.com	*****
*****mail.co*****
*****il.com	n*****
*****63.com	*****
*****om	wse*****
*****3.com	13*****
*****com	ra*****
*****com	xu*****
*****cod*****


屏幕快照 2015-05-04 下午7.29.33.png


屏幕快照 2015-05-04 下午7.30.02.png

修复方案:

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-05 11:45

厂商回复:

漏洞存在,已转给相关人员处理,非常感谢!

最新状态:

暂无