漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-011689
漏洞标题:京东系统漏洞可能导致用户账号密码被盗
相关厂商:京东商城
漏洞作者: ranjea
提交时间:2012-09-03 11:39
修复时间:2012-09-08 11:39
公开时间:2012-09-08 11:39
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-03: 细节已通知厂商并且等待厂商处理中
2012-09-08: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
京东自有的账号体系,会导致京东会员的账号密码被盗,所有信息都可以被修改
详细说明:
京东现在的系统可以通过邮箱或者手机号找回密码功能,此功能有严重缺陷。假设A有一个京东账号,绑定了自己的手机号以及邮箱。A某天因为某些原因换了手机号(这个是经常可能发生的事情,特别是对于网购很多的大学生之类的群体),A很可能忘记了在京东上绑定了原来的号码(太常见了,每个人的手机号都绑定了一堆网站,换号的时候谁能记那么清楚?)假如B用了A的手机号,那么他可以不费吹灰之力,只需要点击找回登录密码就可以把这个账号内所有的信息都修改了。同样,使用邮箱找回密码也有类似缺陷,比如163邮箱等都有一个时限,如果长期未登录会被系统自动收回,这个时候就可能会重新分配给其他用户,也会很轻松的被找回密码
漏洞证明:
修复方案:
修复很简单,在用户选择通过手机或者邮箱找回密码的时候,要求用户必须输入京东的ID,这样,即便是有手机号,不知道ID,表示不是该人正在用此手机号,那么就不会存在这个系统漏洞了。当然,还要增加进一步的功能,解绑,比如我用了一个新号,但是发现我的号码被别人绑定了手机号,那么我需要解绑,在京东的系统里应该增加一个这个功能,在未登录状态下,可以随时解绑自己的手机号(凭借手机验证码)
版权声明:转载请注明来源 ranjea@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-09-08 11:39
厂商回复:
最新状态:
暂无