漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-093613
漏洞标题:阿里巴巴某登录接口设计不当撞裤没商量
相关厂商:阿里巴巴
漏洞作者: MeirLin
提交时间:2015-01-24 17:23
修复时间:2015-03-10 17:24
公开时间:2015-03-10 17:24
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向核心白帽子及相关领域专家公开
2015-02-15: 细节向普通白帽子公开
2015-02-25: 细节向实习白帽子公开
2015-03-10: 细节向公众公开
简要描述:
针对拥有大量用户资源的厂商这种撞裤越有危害。
撞裤是一场需要用户参与的持久战,这种漏洞还是公开了比较好,让用户安全意识的重要性。
所以就没向ASRC提交 :-)
详细说明:
问题出在WindowsPhone移动端的支付宝钱包,登录没有限制(如验证码之类的)接着我们抓他的登录包
我们可以看到登录帐号是明文显示在包中的,而包我们可以随意更改,也就是说我们可以随意更改尝试登录的帐号,不过这里可以看到密码部分是加密过的,想要知道算法恐怕得去逆向程序了,但是我们目的是撞裤,可以保持密码部分不变来批量撞帐号,使用弱密码依然用猪猪侠发的弱密码TOP100中的top6
首先构造包
哎呀,把我设备的各种信息都泄漏了,不过无所谓.. 在这个互联网谁还会有隐私呢 ?
这里加密的密码部分明文应该是“woaini1314”那我们针对这个弱密码就可以批量撞帐号了,所以用户数量越大的厂商这类的撞裤命中率越高,弱密码可没办法防止,所以说撞裤漏洞是一场需要用户参与的持久战。
但是呢,大量的帐号哪里弄? 这很简单呀
在登录的时候,在帐号处填写的手机号如果没有绑定支付宝的话就会显示“该账户不存在”,如果一个帐号存在的话我们尝试登录就会显示“密码输入错误”然后用字典工具生成11位的数字组合,前3位是号段,所以只要生成后8位就可以了
那我们把上个测试迅雷撞裤的脚本稍微修改一下就能拿来用了
如果有跑出来成功的就会保存在good.txt,为了节省时间我并没有真的去测试大量帐号,只是测试了我自己的帐号是否能成功,我把自己的支付宝密码改为了woaini1314,然后添加到usernames.txt,
看看会不会被撞到,结果是成功撞到的。
所以呢,针对这个弱密码还是可以撞到一部分用户的 。。
漏洞证明:
修复方案:
移动端和Web端同样重要
版权声明:转载请注明来源 MeirLin@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2015-01-26 19:53
厂商回复:
属于已知漏洞,感谢您对阿里巴巴安全的关注!
最新状态:
暂无