漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-014599
漏洞标题:光棍节屌丝的逆袭专场NO.3---凡客诚品网修改任意妹子账号密码漏洞
相关厂商:凡客诚品
漏洞作者: 风萧萧
提交时间:2012-11-10 18:38
修复时间:2012-12-25 18:38
公开时间:2012-12-25 18:38
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-10: 细节已通知厂商并且等待厂商处理中
2012-11-12: 厂商已经确认,细节仅向厂商公开
2012-11-22: 细节向核心白帽子及相关领域专家公开
2012-12-02: 细节向普通白帽子公开
2012-12-12: 细节向实习白帽子公开
2012-12-25: 细节向公众公开
简要描述:
屌丝继续逆袭,当你拿到妹子的婚恋网站账号密码成功登陆网站时,看到的都是虚假的信息吧!那么你还想了解她更多的资料么?想知道她的购物历史么?想给她的真实地址寄送礼物么?来凡客吧!
以上想法纯属意淫,以下测试实属危险,各位屌丝请勿模仿!
详细说明:
1.出问题的是移动客户端访问的站点:m.vancl.com:
2.点击右上角【登录】按钮,看到【取回密码】没有?问题就来了:
3.输入需要重置密码的用户名吧,这里由于是测试,我使用了自己的账号:
4.输入图片验证码后,点击【提交】,进入重置密码的下一个页面,同时手机上也收到一个6位纯数字的短信码(这里为区别图片验证码称为短信码)【053472】,我随意填写一个短信码000000,这里注意将浏览器设置好代理准备抓包:
5.抓包的内容如下所示:
很容易看出来参数txtphone为重置的手机号码,txtSMSVerity为短信码了!将该请求发送到burpsuite的intruder模块,配置爆破的参数为txtSMSVerity,并且设置线程数为100:
漏洞证明:
5.我们可以通过返回内容的字节数进行判断是否获取到正确的短信码,在这里7946个字节表示短信码不正确,而7662个字节表示成功获取到短信码;同时也可通过返回的内容不同区别错误与正确的短信码:
6.好吧,我测试了4W次请求,只需2分钟时间!最后拿获取到的短信码进行修改密码吧!
7.我等屌丝再次成功逆袭!
修复方案:
1.测试时我密码取回了几次,每次发送的短信码的第一位都是0,那么这里便是5位纯数字短信码的爆破,即平均5万次的请求,我使用了burpsuite测试单台机器100线程,4分钟即可重置任意一个手机账号!危险啊
2.短信码可以为6位纯数字,甚至可以缩短为4为纯数字;可以不设置图片验证码,甚至可以不用设置短信码的有效期。但是为什么不设置连续5次尝试失败就锁定本次密码重置的请求呢?
3.求20rank,求礼物!
版权声明:转载请注明来源 风萧萧@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2012-11-12 11:44
厂商回复:
已提交相关部门进行评估整改,感谢您对我们的关注与支持!
PS:马总微信出来后已经在对此类问题重新评估,您的测试推动了我们对此类问题的关注,感谢!
最新状态:
暂无