漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-064780
漏洞标题:豌豆荚面向手机游戏的帐户系统有密码重置漏洞
相关厂商:豌豆荚
漏洞作者: 路人甲
提交时间:2014-06-13 16:01
修复时间:2014-07-28 16:02
公开时间:2014-07-28 16:02
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-13: 细节已通知厂商并且等待厂商处理中
2014-06-13: 厂商已经确认,细节仅向厂商公开
2014-06-23: 细节向核心白帽子及相关领域专家公开
2014-07-03: 细节向普通白帽子公开
2014-07-13: 细节向实习白帽子公开
2014-07-28: 细节向公众公开
简要描述:
问题出在豌豆荚提供给游戏发行商的SDK, 里面的accout认证系统有bug
详细说明:
晚上在手机上玩刀塔传奇。因为是从豌豆荚上下载的app,所以登陆的时候要输入豌豆荚的accout
拿手机号注册一下,就会收到如下的一个手机短信:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
成功注册豌豆荚帐号,初始密码为XXXXX,您可以点此修改密码 http://wandou.im/a1gz7
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
问题就出在这个修改密码的短地址
1. 这个短地址是持久性的, 无论你什么时候登陆都能重置密码
2. 进一步,这个地址中的a1gz7表示一个accout,你顺便修改就能进入别人重置画面
3. 最要命的,你在别人的重置画面重置之后,http response里面居然有当前的accout个人信息。。。。
漏洞证明:
如下的post请求
https://account.wandoujia.com/v4/api/modifypassword
http response居然如下:
{"error":0,"msg":"操作成功","member":{"uid":~~~~~,"nick":"飞翔","avatar":"http://account.wandoujia.com/avatar?uid=79449209&size=MIDDLE","username":"~~~~~~","email":"[email protected]","telephone":"~~~~~~~","emailValidated":true,"telephoneValidated":true,"socials":[],"roles":["ROLE_USER"],"registerSource":"TELEPHONE","needUpdatePassword":false,"trusted":true,"complete":true}}
修复方案:
亲,快点修复吧
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-06-13 16:25
厂商回复:
谢谢反馈。我们已经查明问题,正在抓紧修复。
最新状态:
2014-07-28:已经修复了