当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017051

漏洞标题:大麦网存在帐号被劫持风险

相关厂商:大麦网

漏洞作者: 微微笑

提交时间:2013-01-07 18:33

修复时间:2013-02-21 18:33

公开时间:2013-02-21 18:33

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-02-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

通过学习http://www.wooyun.org/bugs/wooyun-2010-014571漏洞和http://zone.wooyun.org/content/1562这篇文章,对绑定第三方网站的认证方式,进行了一些测试,发现各个网站都有些许不同,但是核心思想都是获取第三方网站的access_token,此时截获这个请求,利用CSRF让其他账户访问这个请求,那么这些帐号都将绑定到你预设的第三方网站上(一对一),因为大多都设置了一个相同应用的帐号不能绑定到同一个第三方网站帐号的限制。

详细说明:

简单描述下漏洞的背景
http://zone.wooyun.org/content/1562说的很对,认证的信息没有将网站A的帐号A与第三方网站C的帐号C联系起来,截获的认证信息只能证明帐号C具有访问网站C的能力,所以网站A的帐号B,访问了截获的认证信息后,一样可以绑定到网站C的帐号C上,造成了账户劫持被利用。
模拟劫持过程:
1、准备一个新的大麦账号,没有绑定任何网站,等下就劫持这个账号,看下图:

2.png


2、再准备一个已经登陆的人人网账号和另外一个大麦账号,为了方便测试在同一浏览器中开发,看下图:

1.png


3.png


3、在第2步中的浏览器中设置代理到paros中,同时开启拦截模式,然后在第2步中的大麦帐号中进入到"第三方站好绑定",点击人人网后面的“绑定人人帐号”。
4、这个时候在paros中单步执行,同时复制URL:
http://connect.damai.cn/RenRen/Bind.aspx?_action=GetUser&data=%7b%22PkID%22%3a0%2c%22Code%22%3a0%2c%22CreateDate%22%3a%22%5c%2fDate(1357535393150)%5c%2f%22%2c%22LastModifyDate%22%3a%22%5c%2fDate(1357535393150)%5c%2f%22%2c%22ThirdPartySign%22%3a6%2c%22Other_UID%22%3a%22505316817%22%2c%22Other_Token%22%3a%22207023%7c6.0968a11612b566c72891194dfbfdb3f3.2592000.1360130400-505316817%22%2c%22Other_TokenSecret%22%3anull%2c%22Other_NickName%22%3a%22%e6%9d%9c%e8%85%be%22%2c%22Other_Gender%22%3a1%2c%22Other_Description%22%3anull%2c%22Other_Profile_Image_Url%22%3a%22http%3a%2f%2fhead.xiaonei.com%2fphotos%2f0%2f0%2fmen_head.gif%22%2c%22Other_Profile_Url%22%3anull%2c%22Other_Verified%22%3afalse%2c%22Other_CityID%22%3a0%2c%22Other_Location%22%3anull%2c%22Other_FollowersCount%22%3a0%2c%22Other_FriendsCount%22%3a0%2c%22Other_StatusesCount%22%3a0%2c%22Other_FavouritesCount%22%3a0%2c%22Other_CreateDate%22%3a%22%5c%2fDate(-62135596800000)%5c%2f%22%2c%22Other_LoginUser%22%3anull%2c%22Other_Password%22%3anull%2c%22IsRandomAccount%22%3a0%2c%22Oauth_Version%22%3a2%2c%22Other_Refresh_token%22%3anull%2c%22Expires_In%22%3a%22%5c%2fDate(1360130399150)%5c%2f%22%7d
(注:可能你获得该URL的时候,它已经返回大麦使用了,即绑定成功了,此时再执行步骤5,会被告“该帐号已被另一个帐号捆绑”,所以请保证该帐号未被捆绑或已解绑。)
5、把第4步中复制出来的URL,放到第1步我们要被劫持的大麦账号浏览器中访问。效果如下图

w.png


6、至此整个攻击完成。

漏洞证明:

漏洞证明:
用已经绑定的人人帐号登录大麦网,登录到了被劫持的大麦帐号上。

r.png

修复方案:

参照" WooYun: 优酷网存在账号被劫持风险 "给出的修复意见

版权声明:转载请注明来源 微微笑@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝