漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-054257
漏洞标题:母婴之家网上商城重置任意用户密码
相关厂商:muyingzhijia.com
漏洞作者: PythonPig
提交时间:2014-03-24 16:07
修复时间:2014-05-08 16:07
公开时间:2014-05-08 16:07
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-24: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向核心白帽子及相关领域专家公开
2014-04-13: 细节向普通白帽子公开
2014-04-23: 细节向实习白帽子公开
2014-05-08: 细节向公众公开
简要描述:
1)母婴之家网上商城重置任意用户密码导致敏感信息泄漏
2)网站设计缺陷可以爆出大量用户名
3)弱口令导致用户密码极易被重置
详细说明:
http://www.muyingzhijia.com/
先说明下:
1)没有登录验证码、无登录次数限制,且当用户名不存在时提示“用户名无效”,因此设置好号段,密码任意填写,则可在短时间内爆出大量注册用户名。
2)网站在找回密码时发送到手机上的验证码竟然是由4位纯数字组成的。爆破只需不到5分钟~~~
3)这么大这么优秀的网上商城,应该不会太小气吧,哈哈,求个小礼物~~~
下面看看这个洞洞是怎么利用的
1、在母婴之家网站的找回密码页面(http://www.muyingzhijia.com/forgetpassword.aspx)填写好要重置的用户名和验证码(随便填写),点击获取手机验证码并抓包
在上图中的code值就是我们的目标参数
2、把抓到的包添加到intruder,设置好如下图的爆破参数
3、自定义典,同时把爆破线程设置到120以增加爆破次数,不到5分钟便可以爆破完成。
然后开始爆破~~~~
4、看看下面的结果,从第二个红框框的长度可以得出,第一个红框框就是手机验证码
5、我们来测试一下得到的验证码,在密码找回页面填写得到的验证码,如下
填写新密码
重置成功
登录进去看看
有用户的大量敏感信息哟~~~
漏洞证明:
见 详细说明
修复方案:
以下是一个学生娃儿的愚见,其实您比我懂~~
1、敢不敢在登录界面、填写手机验证码的页面设置个验证码?
2、敢不敢设置个错误登录次数限制?
3、敢不敢把密码设置成由数字和大小写字母组成的随机数?
4、敢不敢把验证码的长度加长点?
只想到了这么多,求给个礼物呗~~谢谢您了~~~
版权声明:转载请注明来源 PythonPig@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2014-03-24 17:57
厂商回复:
非常感谢 PythonPig@乌云,以这么清晰、详细的方式通知我们。
此漏洞的确存在,之前其实也有所发现,只是考虑到方便用户不想设得太麻烦,另外也是事情太多,加上用户跟钱没关系,破掉密码也得不到什么,所以就没重视。
PythonPig@乌云的发现,也提醒了我们,从保护用户信息角度,的确需要严格把关,不能心存侥幸。
再次感谢PythonPig@乌云,我们将会尽修复此漏洞。
最新状态:
暂无