当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03608

漏洞标题:小米电商网站认证服务第三方劫持漏洞

相关厂商:小米科技

漏洞作者: Joey Yin

提交时间:2011-12-11 22:23

修复时间:2012-01-25 22:24

公开时间:2012-01-25 22:24

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-11: 细节已通知厂商并且等待厂商处理中
2011-12-12: 厂商已经确认,细节仅向厂商公开
2011-12-22: 细节向核心白帽子及相关领域专家公开
2012-01-01: 细节向普通白帽子公开
2012-01-11: 细节向实习白帽子公开
2012-01-25: 细节向公众公开

简要描述:

报这个漏洞主要因为周末悲剧地把iphone摔烂了,老婆不给批新手机的经费,无奈之下想给小米报漏洞换个手机。小米科技的谢良说:“钱我争取不到。但如果是比较危险或重要的(比如小米的电商网站,米聊核心系统相关)漏洞,小米手机这个真可以有。请报到security@xiaomi.com,乌云亦可。多谢多谢!” 于是我折腾了10分钟⋯⋯
PS1: 各位观众,如果觉得这漏洞值一部小米手机,请支持我,谢谢。
PS2: 我都写了第三方劫持了,有点担心会不会太详细了。

详细说明:

1. 小米系列网站通过一个中心的认证服务器实现用户登陆:
http://passport.xiaomi.com/index.php?goto=RETURN_URL
2. 其中的RETURN_URL没有做域校验,可以返回到任意网站。
3. 悲剧的是返回地址形式是:RETURN_URL?token=authentication_token
4. 第三方可以通过隐蔽的方式准备一个RETURN_URL然后收集authentication_token.
5. 在小米电商网站上我至少找到两个入口可以通过这个authentication_token获取用户身份:
http://order.xiaomi.com/site/callback?referer=http%3A%2F%2Fwww.xiaomi.com%2F&token=...
http://go.xiaomi.com/index.php?token=...

漏洞证明:

如果你发现某个token在某个认证入口上无效,请注意认证页面的appid参数。

修复方案:

其实没啥好说的,小米各个网站之间还在用这种明显不安全的方式做身份认证,而且还没有实现SSO,其实是技术方案的失败。

版权声明:转载请注明来源 Joey Yin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2011-12-12 08:06

厂商回复:

多谢报告
正在处理中

最新状态:

2011-12-12:先临时做了域限,过段时间会有更靠谱的方案出炉。多谢!

漏洞评价:

评论

  1. 2011-12-11 22:47 | xixi ( 路人 | Rank:26 漏洞数:8 | 别瞎BB。。。。。。。。。。)

    坐等详情看看。。

  2. 2011-12-11 22:55 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    厂商态度很赞啊

  3. 2011-12-11 23:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    洞主一定要做好截图 做好录像......

  4. 2011-12-11 23:04 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

    表示关注,看来研究小米手机将成为一条发家致富的新路~~~

  5. 2011-12-11 23:13 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    没事,我觉得谢良同志还是比较靠谱的,我这台手机应该没问题。

  6. 2011-12-11 23:44 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    如果实现了SSO,这个危害会更大。

  7. 2011-12-11 23:49 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    如果有一定危害的话,价值2000+RMB,对于一个企业而言,应该是木有问题的吧。

  8. 2011-12-11 23:52 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Joey 搞个录像和截图才能给大家继续学习啊 哈哈

  9. 2011-12-12 10:02 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    小米已经确认并向我索取地址准备兑现了,哈哈,拿到手机上来给大家汇报。

  10. 2011-12-12 11:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    羡慕嫉妒恨

  11. 2011-12-12 13:30 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    赞,靠谱的厂商。

  12. 2011-12-12 14:09 | xixi ( 路人 | Rank:26 漏洞数:8 | 别瞎BB。。。。。。。。。。)

    我觉得还是看详情才知道危害到底多大。

  13. 2011-12-12 14:18 | CnCxzSec(衰仔) ( 普通白帽子 | Rank:322 漏洞数:32 | Wow~~~)

    靠谱!

  14. 2011-12-13 12:04 | 凡客诚品(乌云厂商)

    (⊙o⊙)哦

  15. 2011-12-13 16:40 | Frankie ( 路人 | Rank:10 漏洞数:1 | 你存在,我的代码里...Line 0://你)

    等待揭开那个马赛克....凡客诚品?厂商也来关注了?!!

  16. 2011-12-13 18:46 | Joey Yin ( 实习白帽子 | Rank:60 漏洞数:5 )

    手机已到手,感谢小米谢良,很靠谱的厂商。据说正在招聘安全工程师,感兴趣的可以关注一下。

  17. 2011-12-13 23:22 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我擦。效率真高。羡慕嫉妒恨啊。

  18. 2011-12-27 20:50 | Snow ( 实习白帽子 | Rank:54 漏洞数:6 | 换马甲 擦擦擦)

    偶也准备去换手机 穷人买不起手机 虾米 小米哟 哦拉拉~~~~

  19. 2012-01-26 21:21 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    羡慕啊, 这个漏洞我去小米的时候也注意到了。 = = ,早知道我也来报这个了 ,看来俺的危害意识还不到位。

  20. 2012-02-08 22:21 | Ambulong ( 普通白帽子 | Rank:113 漏洞数:14 | 保佑中啊~放了一星期的东西,别误会啦~)

    很少那么大方的厂商啊~有礼物已经够高兴了

  21. 2012-02-08 22:22 | Ambulong ( 普通白帽子 | Rank:113 漏洞数:14 | 保佑中啊~放了一星期的东西,别误会啦~)

    很少那么大方的厂商啊~有礼物已经够高兴了

  22. 2014-05-15 13:54 | 小贱人 ( 路人 | Rank:4 漏洞数:3 | 资深菜鸟,)

    mark

  23. 2014-07-13 22:28 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    大家一起帮小米...................

  24. 2014-07-25 14:03 | Vigoss_Z ( 普通白帽子 | Rank:404 漏洞数:63 | 楞娃)

    @老和尚 你坟挖得够深