当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139257

漏洞标题:厦门小鱼网可任意手机号注册及修改指定用户登录密码

相关厂商:厦门小鱼网

漏洞作者: Nelion

提交时间:2015-09-08 18:04

修复时间:2015-10-23 18:06

公开时间:2015-10-23 18:06

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:6

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

账户体系控制不严格;

详细说明:

1.可任意手机号注册;
2.可修改指定用户的登录密码;(指定user_id这个参数,这个参数可在找回密码时抓包获得)

漏洞证明:

一、任意手机号注册:
1.用任意手机号:15011112222 注册

1.png


2.输入验证码后,抓个包:

2.png


3.修改这里的手机号为我自己的手机号,提交:

3.png


4.手机收到验证码:

4.jpg


5.输入验证码,再填些登录密码,点击注册;注册成功:

5.png


二、修改指定用户的登录密码:
1.这里我用自己的两个真实手机注册了两账号:
ID:Jeans1
Pass:123456QWE
user_id=3708804
Phone:186*****239
ID:Nelion2
user_id=3708361
Phone:186*****761
2.下面我们用Nelion2这个账号来修改Jeans1的密码:
3.我们点击“找回密码”:

6.png


4.输入用户名“Nelion2”:

7.png


5.点击“下一步”可看见这里的手机号:

8.png


6.点击“获取短信验证码”手机收到如下:

9.PNG


7.输入验证码,点击“下一步”,到了修改密码:(我们这里改为:666666)

14.png


8.提交的时候抓包,获取到了user_id:

10.png


9.我们修改这个user_id为3708804,点击提交,显示修改成功:

11.png


10.我们用ID:Jeans1;Pass:666666 登录一下:

12.png


11.显示登录成功:

13.png


12.所以在这里我们如果把user_id这个参数任意更改的话,就能改任意一个账户的密码,而且因为是社区,所以获取账户名也是很简单的。个人觉得这个危害还是蛮大的。

修复方案:

还是得多做一步验证;

版权声明:转载请注明来源 Nelion@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)