漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115042
漏洞标题:“简书发钱啦”,可以批量模拟注册,获取推荐奖励
相关厂商:jianshu.com
漏洞作者: 阿槑的阿槑
提交时间:2015-05-20 15:40
修复时间:2015-08-18 17:02
公开时间:2015-08-18 17:02
漏洞类型:模拟批量注册
危害等级:低
自评Rank:2
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-20: 细节已通知厂商并且等待厂商处理中
2015-05-20: 厂商已经确认,细节仅向厂商公开
2015-05-23: 细节向第三方安全合作伙伴开放
2015-07-14: 细节向核心白帽子及相关领域专家公开
2015-07-24: 细节向普通白帽子公开
2015-08-03: 细节向实习白帽子公开
2015-08-18: 细节向公众公开
简要描述:
“简书发钱啦”是推广app、注册新用户给奖励的一个活动。
可以批量模拟注册,获取推荐奖励
详细说明:
UID:推荐人id
DID:手机设备id
1.
http://napoli.jianshu.io/i?app_key=UID×tamp=1439098971&session_duration=20&device_id=DID
客户端发送请求,关联UID和DID
2.
POST http://api.jianshu.io/v1/users/signup?app%5Bname%5D=haruki&app%5Bversion%5D=1.6.2&device%5Bguid%5D=DID HTTP/1.1
X-Auth-1: c93e61584aee44ec3c2b536e784f8798
X-Timestamp: 1432038033
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
User-Agent: Dalvik/1.6.0 (Linux; U; Android 6.0.4; Amei)
Host: api.jianshu.io
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 304
注册信息:
device%5Bbrand%5D=Amei&device%5Bcpu_arch%5D=IOS&app%5Bname%5D=haruki&device%5Bresolution_width%5D=720&nickname=brave&email=brave%40brave.cn&device%5Bmodel%5D=Amei&device%5Bos_version%5D=99&device%5Bos%5D=IOS&device%5Bresolution_height%5D=1280&app%5Bversion%5D=1.6.2&password=iLoveyou&device%5Bguid%5D=DID
问题:
a. 注册信息中的邮箱可以随便填写,注册后,也不会发生验证邮件。
b. X-Auth-1: c93e61584aee44ec3c2b536e784f8798是客户端对X-Timestamp: 1432038033的编码串,服务器会进行验证。如果X-Auth-1和X-Timestamp不对应,服务器会返回验证错误。虽然不知道编码规则,但这个编码串有个有效时间,大概几十秒。在有效时间内,可以进行批量模拟注册,获取推荐奖励,一个人一块钱呢!几十秒模拟个几百千没有问题的吧
ps:当然用手机模拟器写个脚本,模拟注册,跟真实注册一样,这样基本是绝杀的,没有解决办法。
漏洞证明:
修复方案:
解决办法:
1.验证邮箱
2.修改编码规则 X-Auth-1: c93e61584aee44ec3c2b536e784f8798
版权声明:转载请注明来源 阿槑的阿槑@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-05-20 17:00
厂商回复:
感谢这位白帽子的提醒。
注册的确无法避免,我们后台会有审核机制来控制这一块。
非常感谢支持简书。
Larry
最新状态:
暂无