漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0147285
漏洞标题:Amazon AWS云服务认证漏洞可导致恶意spam
相关厂商:亚马逊
漏洞作者: whuwy
提交时间:2015-10-18 17:51
修复时间:2015-10-21 14:55
公开时间:2015-10-21 14:55
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-18: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
Amazon AWS云服务账号申请时存在身份验证漏洞
详细说明:
Amazon AWS云服务(http://aws.amazon.com/cn/) 为每个账号提供12个月免费的Amazon EC2云主机,在申请时Amazon会要求输入付款信息,并从待付款信用卡中扣除1美元预授权;然后输入电话号码,进行身份验证。
在注册账户、绑定付款信息和手机号码过程中有以下三个漏洞:
(1)注册Amazon AWS账号时,Amazon不会对注册邮箱的有效性进行验证,随意输入邮箱和密码即可注册。
(2)填写付款信息时,Amazon AWS只验证了卡号的有效性:如果输入正确的信用卡卡号及用账户名称,Amazon网站会自动从该信用卡中扣除1美元;但当输入一个有效的卡号和错误的账户名称时,则Amazon不对账户扣款,但仍然能够通过验证。
(3)身份验证时,不会对身份验证的手机号码是否已绑定其他账户进行判断,一个手机号码可以重复对多个账户进行验证。
漏洞证明:
用户可以批量注册账号,然后利用信用卡号生成器(如http://www.e4dai.com/tool/CreditCard.asp )来绑定任意有效的卡号,并重复在一个有效的手机号码上进行验证。
1、申请账号:
2、随机生成信用卡卡号:
3、根据随机生成的卡号输入付款信息:
4、身份验证:
5、账号生成成功,查看账号中的付款信息:
修复方案:
1、使用邮箱申请账号时,向邮箱发送验证码,通过点击验证码来激活。
2、输入付费信息时,对卡号和账户名的真实性进行验证。
3、身份验证时,检查输入的手机号码是否已被其他用户绑定。
版权声明:转载请注明来源 whuwy@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-21 14:55
厂商回复:
(1)注册Amazon AWS账号时,Amazon不会对注册邮箱的有效性进行验证,随意输入邮箱和密码即可注册。
目前我们并不会验证注册AWS的email地址是否由注册者控制, 但是会验证email是否已经注册了AWS账号。
(2)填写付款信息时,Amazon AWS只验证了卡号的有效性:如果输入正确的信用卡卡号及用账户名称,Amazon网站会自动从该信用卡中扣除1美元;但当输入一个有效的卡号和错误的账户名称时,则Amazon不对账户扣款,但仍然能够通过验证。
使用随机生成能通过卡号验证的假信用卡虽然可以通过验证并且登陆AWS控制台,但是在信用卡号被发卡银行验证之前(预扣款 $1)你都不能使用任何服务和资源,比如EC2,S3等,IAM 服务除外。
(3)身份验证时,不会对身份验证的手机号码是否已绑定其他账户进行判断,一个手机号码可以重复对多个账户进行验证。
这也是正常的,比如企业用户可以用同一个电话号码注册多个账号,方便管理。
感谢您的报告和对亚马逊AWS 信息安全的支持!
最新状态:
暂无