漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-012642
漏洞标题:yy冻结封禁帐号正常登录(可进频道、刷花、送月票)
相关厂商:广州多玩
漏洞作者: huliang
提交时间:2012-09-24 11:19
修复时间:2012-11-08 11:20
公开时间:2012-11-08 11:20
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-24: 细节已通知厂商并且等待厂商处理中
2012-09-24: 厂商已经确认,细节仅向厂商公开
2012-10-04: 细节向核心白帽子及相关领域专家公开
2012-10-14: 细节向普通白帽子公开
2012-10-24: 细节向实习白帽子公开
2012-11-08: 细节向公众公开
简要描述:
yy被冻结的帐号,任然可以直接登录IM服务器,频道服务器,任然可以正常在线,参与频道业务!
详细说明:
yy客户端登录过程分几步:
1、登录Token服务器,获取Token令牌, 一般长度为0x60字节,
2、利用已经取到的Token令牌登录 Udb服务器,Udb服务器对帐号进行验证。客户端登录时Udb服务器验证失败,则客户端弹出相应错误并停止继续;
3、利用已取到的Token登录Im服务器,
4、利用已取到的Token登录频道服务器
漏洞产生原因,首先通过Token服务器获取Token令牌,不登录Udb服务器对帐号进行校验,因为Token服务器在返回Token的同时也会返回用户UserId,所以可直接使用UserId + Token 登录Im服务器 或者 频道服务器,只要不是与Udb服务器进行交互的业务逻辑都可以完成。
Im服务器 和 频道服务器的登录 仅需要 UserId + password + Token ,后台没有对用户状态进行逻辑判断,导致只要知道UserId + password + Token 就可以随意登录,进而从事一些其他业务活动!
漏洞证明:
证明就不贴了,市面上已经出现利用封禁、冻结帐号,刷花,刷月票的案例了!
修复方案:
所有服务器增加统一认证,对帐号状态加以判断!
版权声明:转载请注明来源 huliang@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2012-09-24 11:27
厂商回复:
收到,正在处理中,谢谢提供。
最新状态:
暂无