当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111004

漏洞标题:智联招聘某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商:智联招聘

漏洞作者: 路人甲

提交时间:2015-04-29 10:17

修复时间:2015-06-17 20:04

公开时间:2015-06-17 20:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-29: 细节已通知厂商并且等待厂商处理中
2015-05-03: 厂商已经确认,细节仅向厂商公开
2015-05-13: 细节向核心白帽子及相关领域专家公开
2015-05-23: 细节向普通白帽子公开
2015-06-02: 细节向实习白帽子公开
2015-06-17: 细节向公众公开

简要描述:

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。

详细说明:

主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号。 登录接口抓包如下:

POST /account/login HTTP/1.1
Host: passport.zhaopin.com
Connection: close
Content-Length: 153
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.zhaopin.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.zhaopin.com/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: dywez=95841923.1430271283.1.1.dywecsr=hao123.com|dyweccn=(referral)|dywecmd=referral|dywectr=undefined|dywecct=/zhaopin; urlfrom=121114603; adfcid=wwwhao123com; adfbid=0; dywea=95841923.2895012665034650000.1430271283.1430271283.1430271283.1; dywec=95841923; dyweb=95841923.2.10.1430271283; __utma=269921210.1473176380.1430271284.1430271284.1430271284.1; __utmb=269921210.2.10.1430271284; __utmc=269921210; __utmz=269921210.1430271284.1.1.utmcsr=hao123.com|utmccn=(referral)|utmcmd=referral|utmcct=/zhaopin; LastCity=%e6%9d%ad%e5%b7%9e; LastCity%5Fid=653
RA-Ver: 2.10.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
int_count=999&errUrl=https%3A%2F%2Fpassport.zhaopin.com%2Faccount%2Flogin&RememberMe=true&requestFrom=portal&loginname=gggxin@126%2ecom&Password=xinghong

漏洞证明:

经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号.

mask 区域 
*****[email protected]*****
*****om	121*****
*****	steven*****
*****om	200*****
*****com	tz*****
*****com	xi*****
*****com	th*****
*****com	12*****
*****com	lh*****
*****.com	7*****
*****.com	3*****
*****.com	g*****
*****.com	w*****
*****.com	j*****
*****.com	8*****
*****om	lx11*****
*****com	gyt*****
*****3.com	*****
*****om	DTY*****
*****q.com	*****
*****m	liying*****
*****com	517*****
*****com	bea*****
*****com	nav*****
*****3.com	*****
*****3.com	*****
*****com	440*****
*****com	562*****
*****com	823*****
*****com	19*****
*****com	198*****
*****com	che*****
*****com	lub*****
*****m	qiujin*****
*****com	wan*****
*****com	52*****
*****com	xi*****
*****com	20*****
*****com	237*****
*****com	ma2*****
*****com	19*****
*****com	15*****
*****om	304*****
*****.com	14*****
*****net	x*****
*****.com	6*****
*****.com	11*****
*****	jiaAIl*****
*****.com	z*****
*****3.com	*****
*****com	ra*****
*****cn.com*****
*****om	lzk*****
*****	910108*****
*****.com	s*****
*****.com	s*****
*****n.com	*****
*****.com	c*****
*****.com	h*****
*****om	6633*****
*****.com	W*****
*****m.com	q*****
*****com	19*****
*****.com	b*****
*****6.com	2*****
*****om	hebi*****
*****com	b0*****
*****6.com	h*****
*****3.com	*****
*****.com	b*****
*****net	si*****
*****com	hl*****
*****com	li*****
*****m	zhufu*****
*****163.co*****
*****a.com	*****
*****3.com	*****
*****6.com	*****
*****m	kinji*****
*****.cn	8MIL*****
*****com	Ni*****
*****a.com	3*****
*****l.com	*****
*****m	laoto*****
*****.cn	mm*****
*****com	12*****
*****n.com	*****
*****.com	*****
*****u.com	1*****
*****com	wh1*****
*****com	xx1*****
*****3.com	8*****
*****com	752*****
*****q.com	*****
*****3.com	1*****
*****com	Jay*****
*****a.com	g*****
*****q.com	*****
*****6.com	*****
*****com	198*****
*****q.com	*****
*****com	ccr*****
*****com	192*****
*****com	bec*****
*****com	ckt*****
*****q.com	*****
*****com	can*****
*****com	199*****
*****3.com	*****
*****com	nc2*****
*****com	woa*****
*****3.com	*****
*****6.com	*****
*****com	gb1*****
*****com	LWZ*****
*****com	612*****
*****n	tiger1*****
*****om	1437*****
*****com	836*****
*****.com	c*****
*****.com	1*****
*****om	jin1*****
*****com	648*****
*****3.com	*****
*****com	510*****
*****.net	*****
*****com	459*****
*****com	fnh*****
*****cn	mxt1*****
*****q.com	*****
*****com	luo*****
*****om	7216*****
*****l.com	n*****
*****com	zqc*****
*****.com	x*****
*****.com	5*****
*****.com	1*****
*****.com	3*****
*****om	pass*****
*****il.com	*****
*****om.com	*****
*****.net	02*****
*****63.net*****
*****.com	78*****
*****.com	5*****
*****om	dick1*****
*****63.com	*****
*****.com	198*****
*****.com	h*****
*****om	2513*****
*****.com	*****
*****om	houdo*****
*****.com	62*****
*****.com	81*****
*****om	81101*****
*****com	060*****
*****26.com	*****
*****com	134*****
*****com	han*****
*****.com	07*****
*****.com	05*****
*****q.com	*****
*****m	wangxi*****
*****net	19*****
*****6.com	W*****
*****com	123*****
*****com	yan*****
*****3.com	*****
*****3.com	*****
*****6.com	*****
*****3.com	*****
*****.com	19*****
*****com	198*****
*****q.com	*****
*****m	loveev*****
*****3.com	*****
*****.com	hu*****
*****.com	19*****
*****q.com	*****
*****com	f88*****
*****q.com	*****
*****q.com	*****
*****com	020*****
*****com	402*****
*****com	136*****
*****com	CC1*****
*****.com	12*****
*****com	a19*****
*****q.com	*****
*****com	959*****
*****q.com	*****
*****com	208*****
*****com	wjw*****
*****q.com	*****
*****com	a19*****
*****com	zhe*****
*****com	104*****
*****com	139*****
*****q.com	*****
*****3.com	*****
*****com	584*****
*****com	huh*****
*****q.com	*****
*****m	caixia*****
*****63.com	*****
*****q.com	*****
*****com	z19*****
*****q.com	*****
*****u.com	5*****
*****q.com	*****
*****com	zho*****
*****com	q62*****
*****q.com	*****
*****com	rov*****
*****6.com	8*****
*****.net	6*****
*****com	jsa*****
*****q.com	*****
*****com	181*****
*****q.com	*****
*****com	jwq*****
*****q.com	*****
*****q.com	*****
*****M	luocan*****
*****com	52c*****
*****com	bao*****
*****.com	j*****
*****163.com*****
*****com	aaa*****
*****com	594*****
*****3.com	4*****
*****q.com	zl*****
*****q.com	*****
*****6.com	1*****
*****com	hisen*****
*****t	awwzxad*****
*****3.com	1*****
*****com	8970*****
*****6.com	w*****
*****.com	13*****
*****q.com	c*****
*****.com	xi*****
*****na.com*****
*****n.com	h*****
*****3.com	5*****
*****.com	00*****
*****.net	re*****
*****u.com	1*****
*****com	636*****
*****3.com	z*****
*****.com	19*****
*****.com	ut*****
*****.cn	050*****
*****.com	12*****
*****.com	li*****
*****.cn	feng*****
*****3.com	1*****
*****.com	19*****
*****com.cn	1*****
*****.com	ap*****
*****om	58121*****
*****.com	86*****
*****.com	la*****
*****.com	23*****
*****3.com	1*****
*****com	11012*****
*****.com	32*****
*****.com	20*****
*****63.com	s*****
*****com	132*****
*****.com	zh*****
*****.com	30*****
*****.com	hf*****
*****.com	96*****
*****.com	19*****
*****na.com	1*****
*****.com	38*****
*****om	3305*****
*****63.com	*****
*****.com	gao*****
*****.com	ama*****
*****a.com	*****
*****.net	G*****
*****om	hhw*****
*****.com	39*****
*****63.com	2*****
*****.com	zx*****
*****u.com	i*****
*****3.com	0*****
*****63.com	*****
*****26.com	*****
*****63.com	*****
*****q.com	q*****
*****l.com	1*****
*****il.com	*****
*****il.com	*****
*****26.com	*****
*****6.com	7*****
**********
*****cod*****


屏幕快照 2015-04-29 上午10.03.17.png


修复方案:

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-05-03 20:03

厂商回复:

感谢对智联招聘安全的关注。

最新状态:

暂无