当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106341

漏洞标题:网鱼网咖鱼泡泡应用任意账户登录漏洞(影响账号内余额安全)

相关厂商:网鱼网咖

漏洞作者: xsser_w

提交时间:2015-04-08 12:01

修复时间:2015-05-23 12:02

公开时间:2015-05-23 12:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

QQ图片20150407095542.png


我们来分析下这个包
请求参数是
screen=640%2A960&device_model=iphone&signature=11906247c37e42f2add87994c7e9a116decfb6c3&sys_version=7.1.2&request=xxx&method=GetGodList&soft_version=1.0&platform=ios&timespan=1428371452289
先打个马赛克, 这里的request参数是base64后的一个json数据
"token":"dxxx30b250dda6f8aa"
里面有个token 这个token 永久有效 是身份的唯一标示

POST /api/index HTTP/1.1
Host: yppapi.wanyoo.com
Proxy-Connection: close
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 281
Connection: close
Cookie: ci_session=a%3A5%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%220534970c3d43c54a61815486e55740db%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A15%3A%22183.129.152.142%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A55%3A%22%E9%B1%BC%E6%B3%A1%E6%B3%A1+2.1+rv%3A2.1.3+%28iPhone%3B+iPhone+OS+6.1.2%3B+en_US%29%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1428371775%3Bs%3A9%3A%22user_data%22%3Bs%3A0%3A%22%22%3B%7D05fb18ef3bff00635af67f7ab31583fc
User-Agent: 鱼泡泡 2.1 rv:2.1.3 (iPhone; iPhone OS 6.1.2; en_US)
screen=640%2A960&device_model=iphone&signature=d61798ec625bb563c211f2da605db395056dbc73&sys_version=7.1.2&request=
{"token":"WYWKAPPV1TESTTOKEN","mobile":"188152209","password":"1929"}
&method=SignIn&soft_version=1.0&platform=ios&timespan=1428371783599


这个包发出后我们对他的返回包的token进行替换
就可以登录任意账户了- -
然后我们看下第一个女神的账户

QQ图片20150407100922.jpg


漏洞证明:

QQ图片20150407100922.jpg

修复方案:

想一套新的方案出来替换这个
或者是根据行业主流做法

版权声明:转载请注明来源 xsser_w@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:13 (WooYun评价)