漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-014661
漏洞标题:求医网逻辑漏洞,导致资料用户信息泄漏甚至变相套现
相关厂商:求医网
漏洞作者: 纷纭
提交时间:2012-11-12 11:55
修复时间:2012-12-27 11:56
公开时间:2012-12-27 11:56
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-12-27: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
求医网系统功能设计的BUG,管理员的疏忽,能够获取网站用户的基础资料。
具体细节比较严重,不便公开。
详细说明:
1.求医网,是国内较大的医疗门户站点,网址http://www.qiuyi.cn/。
2.医生和医院可以自行注册,其中注册会员可以通过回答问题等途径获取积分。
3.积分可以按照10:1兑换为人民币,比如1000积分可以兑换100人民币,后台可以直接兑换。
4.求医网密码取回功能出现严重的漏洞,只要输入用户名和注册邮箱就可以充值密码,密码默认是123456.全部用户都是。
5.获取到用户名和注册的邮箱后,就可以随便修改他人的密码,以初始密码123456登录后台,如果后台有积分,那么还可以直接兑换为人民币。
6.其他比如修改用户,医生,医院的信息等。
7.由于密码漏洞造成很多客户资料可以被修改。
8.最明显的泄漏用户信息的地方是:http://www.qiuyi.cn/jifen。积分栏目排行榜可以看到用户完整的邮箱,基本可以根据前面提示的用户名前三位猜测到密码,进而通过密码修改漏洞,进而获取用户信息,修改资料,提取用户积分为人民币,通过前几位的排行榜可以看到,至少可以获利10万以上。
漏洞证明:
1.http://www.qiuyi.cn/jifen进入栏目可以看到很多用户名和注册邮箱,根据人的常规习惯,可以获取到完整的用户名或者用软件通过注册处的系统用户名校验功能猜测出来,具体不演示,太弱智。
2.通过获取的用户名和邮箱,在取回密码处,http://www.qiuyi.cn/login/getpass,输入取回密码。这时修改后的充值密码信件会发到原始邮箱,默认密码是123456.
3.用用户名和默认密码(不管你是否收到邮件,密码都是默认的123456),登录后台,直接修改用户字的邮箱和其他的为自己的,修改密码为自己的。
4.如果用户后台有积分,可以直接兑换为人民币。
其余部分不再演示。
5.至于用户信息泄漏,相关资料被修改不再重复。
修复方案:
1.修复密码取回环节,修改为随机的密码。
2.积分兑换,密码修改验证手机等。
版权声明:转载请注明来源 纷纭@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝