漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-010851
漏洞标题:乌云官方验证码过于简单,可以穷举在线字典猜解用户密码、刷屏等
相关厂商:乌云官方
漏洞作者: seclab_zju
提交时间:2012-08-13 13:46
修复时间:2012-08-18 13:47
公开时间:2012-08-18 13:47
漏洞类型:恶意信息传播
危害等级:中
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-08-13: 细节已通知厂商并且等待厂商处理中
2012-08-18: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
乌云现在使用的验证码太过简单了,具体表现在:
1.字符颜色单一,只有纯白和纯黑两个颜色,可以直接通过Grayscale==0 or Grayscale==255对其进行二值化。
2.字符没有经过任何处理,例如放大,加粗,斜体,扭曲,可以直接match到一个特征字符串上,如字符“2”对应的特征串是:
00111100
01100110
11000011
00000011
00000110
00001100
00011000
00110000
01100000
11111111
以这个特征串可以99%正确的识别到这个字符。
3.(存疑)测试中发现如果在极短的时间内加载两个验证码,会出现相同结果。可能是伪随机码生成完全由时间控制。此处不确定。
详细说明:
处于验证码保护状态下的服务将失去保护。其中具有较高价值的是登录页面,可以用密码词典暴力破解。用户名随便google一下就可以搜到很多 “site:wooyun.org gmail.com”,这里也提醒下大家不要随便在网上公布自己的重要邮件。
下面是一个截图,在线猜解密码。顺便表扬一下wooyun,当同一IP短时间发出多次请求时会封禁一小段时间,但是只要自动切换代理就可以轻松绕过(goagent,tor,你们懂的)。这里仅是一个proof of concept,并没有实际攻击任何人的帐号,大家放心。
漏洞证明:
仅使用简单的灰度二值化+特征码识别,正确率可达99%以上:
修复方案:
建议使用更复杂的验证码,最好要带字符扭曲、粘连的。
版权声明:转载请注明来源 seclab_zju@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-08-18 13:47
厂商回复:
漏洞Rank:6 (WooYun评价)
最新状态:
暂无