漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0148213
漏洞标题:网易邮箱某重要邮件系统可绕过邮箱登录二次验证从而登录邮箱
相关厂商:网易
漏洞作者: 路人甲
提交时间:2015-10-21 12:29
修复时间:2015-12-05 15:46
公开时间:2015-12-05 15:46
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-21: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经确认,细节仅向厂商公开
2015-10-31: 细节向核心白帽子及相关领域专家公开
2015-11-10: 细节向普通白帽子公开
2015-11-20: 细节向实习白帽子公开
2015-12-05: 细节向公众公开
简要描述:
网易邮箱某重要邮件系统可绕过邮箱登录二次验证从而登录邮箱,使二次验证形同虚设,严重降低用户账户的安全性。
详细说明:
最近开通了126邮箱的邮箱登录二次验证,每次登录邮箱的时候,输入密码后要输入手机短信验证码才能登录。今天突然想到可不可以绕过输入手机短信验证码这个步骤呢?最近网易邮箱好像在推他们官方的邮箱APP——邮箱大师,注册邮箱的时候老是提示需要用邮箱大师来注册,从官方http://client.dl.126.net/pcmail/dashi/mail.exe下载了Windows版,安装后输入邮箱和密码就直接进入了邮箱,没有让输入短信验证码,就这么绕过了网易邮箱的登录二次验证。
只测试了126邮箱,163和yeah没测试,建议也检查一下。
漏洞证明:
邮箱开通了登录二次验证,并且设置的是“每次登录都进行验证”,如图1。
这样设置后每次从网页登录126邮箱输入密码后还会让你输入短信验证码,如图2。
在邮箱大师中直接输入帐号和密码就进入了邮箱,如下图3。
修复方案:
你们更专业。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2015-10-21 15:44
厂商回复:
问题已确认,下一版本将修复此问题,感谢您对网易的关注!
最新状态:
暂无