当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156000

漏洞标题:网易企业邮箱某处存在重大安全漏洞(企业客户通杀测试蘑菇街/湖南卫视等)

相关厂商:网易

漏洞作者: 土夫子

提交时间:2015-11-26 10:51

修复时间:2016-01-14 15:02

公开时间:2016-01-14 15:02

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-26: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

有不少公司的企业邮局都选择了网易企业邮箱。对网易企业邮箱平台上的3家公司 【蘑菇街、第一财经、湖南卫视】 做了测试,均成功。

详细说明:


纠结了半天这到底算不算一个漏洞,到底该不该提;经过测试证明这是一个安全漏洞,因为它影响了网易企业邮箱平台上每一个公司的安全。
【漏洞1】企业登录入口页面,回显信息竟然提示有无账号存在,构成了第一步安全威胁

1-1.jpg


【漏洞2】在入口页面登录时,采用burp挂字典进行批量扫号,登录入口竟无任何限制(扫号时密码不变,仅遍历用户名),这样通过挂载100万或者1000万的常用姓名字典便可猜解出任何一家公司的大部分已存在账号

1-2.jpg


【漏洞3】其实第三步不算漏洞,但是前两步未做任何限制,也便成就了这一步的成功登录。得知了哪些账户存在,便可进行批量登录了,每个账号有5次重试密码机会。其实5次密码机会已经足够(可以拿出5个常用密码,如1234qwer、abc123、q1w2e3r4、1qaz2wsx等)

1-3.jpg


通过上述步骤如法炮制,选取了蘑菇鸡、第一财经、湖南卫视进行测试,均成功。
这种漏洞能给企业带来什么威胁?可以长期潜伏监控被攻破邮箱的邮件内容、可以导出企业通信录、可以秘密设置邮件抄送邮箱,当然,能做的还不止这些... 想到这些,夫子背后阵阵凉风

2-1.jpg


2-2.jpg


2-3.jpg


漏洞证明:

如上

修复方案:

1、登录页面处有无存在账户,均提示“用户名或秘密错误”
2、启用来源ip限制,防止爆破
3、用户首次登录时也需要验证码,毕竟输个验证码真心不影响用户体验
4、求个网易公仔(官方公仔,非游戏公仔)

版权声明:转载请注明来源 土夫子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-11-30 15:01

厂商回复:

该问题已确认,将在下周修复,感谢您对网易的关注!

最新状态:

暂无