漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0128089
漏洞标题:功夫熊站点暴力破解密码验证码
相关厂商:功夫熊
漏洞作者: 路人甲
提交时间:2015-07-21 17:19
修复时间:2015-09-04 17:20
公开时间:2015-09-04 17:20
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
功夫熊是全国最大的上门推拿按摩平台,服务规范、价格统一、响应迅速,功夫熊旨在提供最好的上门推拿按摩服务.
详细说明:
1.找到管理平台地址:http://admin.gfxiong.com/login?location=/
提示密码错误,抓包,修改几次密码,发现并没有尝试限制,可进行暴力破解。手上字典不多,没进行过多尝试,应该可以暴力获取账号密码。
2.找到个人账号登录地址:http://w.gfxiong.com/wx/lst/product
http://w.gfxiong.com/m/login#/m/my
发现站点是通过手机验证码方式进行认证的。如图:
尝试拿13333333333进行测试吧。。。。
任意提交验证码1234,抓包,爆破之。。。验证过没有限制,于是如图:
破解验证码:0035,登录成功。如图:
此账号没有订单,如果在大量遍历手机情况下,可以获取大量用户信息,毕竟上门服务啊,人生安全不容忽视。。。
3.优惠码似乎也可以遍历。。。。不做过多演示了,遍历可能花很长时间。
漏洞证明:
以上。
修复方案:
1,增加限制机制
2,设置验证阀值
3,来套上门按摩呗。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝