漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-019335
漏洞标题:爱丽团购给任意用户绑定任意手机
相关厂商:aili.com
漏洞作者: xfkxfk
提交时间:2013-02-28 16:27
修复时间:2013-03-08 16:22
公开时间:2013-03-08 16:22
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-02-28: 细节已通知厂商并且等待厂商处理中
2013-02-28: 厂商已经确认,细节仅向厂商公开
2013-03-08: 厂商提前公开漏洞,细节向公众公开
简要描述:
爱丽团购,由于没有限制用户权限,可以给任意用户绑定到任意手机,解除任意用户已绑定的任意手机号码被比人绑定,而且还修改了用户的账户信息,挺严重的。
详细说明:
0、首先看看我们要攻击的对象xfkxfk是没有绑定手机的:
1、我们用tester账户进行手机绑定,在这之前我们先看看他的user_id为2856430。
2、现在开始为tester绑定手机号码:
3、截包看看请求数据:
4、修改用户的user_id为2837024后,再发送请求,验证码成功发送到手机上:
5、在输入手机验证码是截包,在看到发送的请求中的user_id为我们修改后的xfkxfk的user_id:2837024,这里的手机验证码是716392:
漏洞证明:
6、界面上看到成功绑定手机:
7、我们来看看用户xfkxfk成功绑定了我们输入的手机号码:
而且从用户的账户信息中也能看到用户的联系方式,手机号码编程了我们绑定的手机号码,而且现象被置灰,是不能修改的:
8、====================================================
危害:
1、这里我只是那两个用户测试了一下,也用了自己的手机号码,可以为任意用户绑定这个手机号码,而且当我的手机号码被用户A绑定后,还可以被用户B绑定,从而用户A的绑定解除。
2、我也可以使用任意手机号码,因为这里的手机验证码是6位随机数,没有次数和时间限制,太给力了,输入任意手机号码,暴力破解6位验证码太快了。
3、这样一来我们就可以为任意用户绑定任意手机号码了,还能任意解除绑定的号码。
4、还修改了用户的联系方式。
5、危害杠杠的。。。
6、求礼物啊。。。
修复方案:
添加用户权限控制。
设置验证码验证次数。
版权声明:转载请注明来源 xfkxfk@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-02-28 16:41
厂商回复:
惊出一身冷汗!
最新状态:
2013-03-08:已修复!