当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03656

漏洞标题:taobao找回密码绕过严重漏洞

相关厂商:淘宝网

漏洞作者: cnbird

提交时间:2011-12-17 00:55

修复时间:2011-12-17 12:45

公开时间:2011-12-17 12:45

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-17: 细节已通知厂商并且等待厂商处理中
2011-12-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

taobao找回密码绕过严重漏洞,具体看漏洞证明

详细说明:

taobao找回密码绕过严重漏洞,具体看漏洞证明

漏洞证明:

前提条件:
1.账号没有申请手机绑定
2.账号没有设置密保问题
3.用户账号未设置任何保护措施
4.此漏洞只存在于老的用户账号,估计这样的账号很多
渗透测试步骤
1.首先找到这样的账号


2.点击下一步出现密码重置页面


3.使用设置的新密码即可登录

修复方案:

你懂得

版权声明:转载请注明来源 cnbird@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-12-17 12:45

厂商回复:

感谢鸟哥反馈并帮忙排查问题,我们将照常送出礼物:)
经过和鸟哥沟通以及相互远程,我们对细节做了确认,鸟哥的帐号在经过一次找回密码的身份验证(邮箱验证码)后,验证成功的状态被保存在了鸟哥的机器中,导致鸟哥再次找回密码的时候无需再次验证。但是在别人的机器上无法使用这种方式不验证的找回鸟哥的帐号,鸟哥的机器上也无法找回别人的帐号。因此我们和鸟哥一致认为这是个本地验证的问题,没有那么严重,在这个case中不存在找回任意密码的情况。
为消除大家的猜测,在征得鸟哥同意的情况下,我们选择忽略漏洞来尽快使问题公开,麻烦大家一起帮忙排查和确认,多谢!感谢鸟哥。

漏洞Rank:2 (WooYun评价)

最新状态:

2011-12-17:关于验证成功状态的保存,是在服务端保存最终的状态,而在客户端保存一个key。服务端的状态会持续一段时间后消除,在这段时间内,客户端的key被以某种方式(正在确认中)持续保存,这样避免重复验证。现在的问题是鸟哥通过重启、清除cookie等方式都不能清除这个key,可能是我们的bug,也可能是采用了其他方式(比如IP和key绑定),现在还在确认中。

漏洞评价:

评论

  1. 2011-12-17 01:15 | 我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)

    这个猛啊

  2. 2011-12-17 02:18 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    坐等技术回复

  3. 2011-12-17 10:49 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    围观,等公开

  4. 2011-12-17 12:26 | 淘宝网(乌云厂商)

    正在和鸟哥确认中,从目前的情况看似乎是个误会。鸟哥在通过认证后可以在他机器上找回当时通过认证的帐号的密码,但换一台机器或者换一个帐号就不可以了,这是个正常逻辑。我们尽快确认细节并进行公开。

  5. 2011-12-17 13:53 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    晕,看了作者发的3个图,完全没有修改、绕过什么的,直接就能找回,这样想想就知道不是漏洞

  6. 2011-12-17 16:37 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    想问下淘宝送什么礼物?不错的话我天天挖淘宝,嘿。这几天挖团购站

  7. 2011-12-17 16:54 | cnbird ( 普通白帽子 | Rank:547 漏洞数:47 | http://blog.csdn.net/cnbird2008)

    事情是这样的,我老婆修改密码忘记了密码了。而且我的当时注册的邮箱密码也忘记了,这台机器我以前登陆过,大概有一个星期前登陆的。昨天晚上我就随意使用密码找回功能,发现能直接绕过验证修改密码。

  8. 2011-12-17 17:18 | piaoye ( 普通白帽子 | Rank:343 漏洞数:53 | ww)

    原来如此,若真是客户端保存的key问题,要是能劫持这个key那么也是隐患,淘宝上面确认了发下原因吧

  9. 2011-12-18 18:00 | 淘宝网(乌云厂商)

    回复楼上的,这里说的Key是单纯的一个索引,后台的信任关系是和机主信息绑定并且有时间限制的,因此被劫持的条件比较苛刻,这可以看作是在安全和用户体验之间的一种平衡。当然,我们和大家一样认为这种“平衡”并不合适,给用户这种不安全的感觉本身就是对用户体验最大的伤害,因此我们在积极解决这个问题。非常感谢各位的关注和中肯建议。

  10. 2013-03-18 15:41 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    鸟哥 测试不注意细节啊!