当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011689

漏洞标题:京东系统漏洞可能导致用户账号密码被盗

相关厂商:京东商城

漏洞作者: ranjea

提交时间:2012-09-03 11:39

修复时间:2012-09-08 11:39

公开时间:2012-09-08 11:39

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-03: 细节已通知厂商并且等待厂商处理中
2012-09-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

京东自有的账号体系,会导致京东会员的账号密码被盗,所有信息都可以被修改

详细说明:

京东现在的系统可以通过邮箱或者手机号找回密码功能,此功能有严重缺陷。假设A有一个京东账号,绑定了自己的手机号以及邮箱。A某天因为某些原因换了手机号(这个是经常可能发生的事情,特别是对于网购很多的大学生之类的群体),A很可能忘记了在京东上绑定了原来的号码(太常见了,每个人的手机号都绑定了一堆网站,换号的时候谁能记那么清楚?)假如B用了A的手机号,那么他可以不费吹灰之力,只需要点击找回登录密码就可以把这个账号内所有的信息都修改了。同样,使用邮箱找回密码也有类似缺陷,比如163邮箱等都有一个时限,如果长期未登录会被系统自动收回,这个时候就可能会重新分配给其他用户,也会很轻松的被找回密码

漏洞证明:

修复方案:

修复很简单,在用户选择通过手机或者邮箱找回密码的时候,要求用户必须输入京东的ID,这样,即便是有手机号,不知道ID,表示不是该人正在用此手机号,那么就不会存在这个系统漏洞了。当然,还要增加进一步的功能,解绑,比如我用了一个新号,但是发现我的号码被别人绑定了手机号,那么我需要解绑,在京东的系统里应该增加一个这个功能,在未登录状态下,可以随时解绑自己的手机号(凭借手机验证码)

版权声明:转载请注明来源 ranjea@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-09-08 11:39

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-09-03 11:51 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    还是密码取回有问题?

  2. 2012-09-03 14:05 | 豆芽 ( 路人 | Rank:0 漏洞数:1 | 修行中)

    解绑问题?

  3. 2012-09-03 15:46 | zidane ( 路人 | Rank:13 漏洞数:2 | 噢 乖,你们应该明白 这样下去对我们谁都不...)

    求透露 我需要找一个人的电话

  4. 2012-09-08 14:36 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    这个漏洞公开后,可能关注的20个人会很蛋疼

  5. 2012-09-08 14:48 | icefish ( 普通白帽子 | Rank:104 漏洞数:8 | 欢迎大家和我用邮件进行交流~)

    @only_guest是啊,关注的人要失望了....

  6. 2012-09-08 16:42 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    哥来表示蛋疼……

  7. 2012-09-08 16:50 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    @only_guest 果然,这你吗就只是京东有这个问题么?是用手机绑定的全部网站都有这个问题。。。建议运营商弄一个api,换号码可以同步到新号码什么的

  8. 2012-09-08 18:17 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    @icefish 哥有点蛋痛:)

  9. 2012-09-10 21:53 | 豆芽 ( 路人 | Rank:0 漏洞数:1 | 修行中)

    @icefish 失望啥呢,都修补了,可以学习下。