漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013915
漏洞标题:陕西、四川、重庆等移动网上营业厅验证码设计缺陷
相关厂商:139移动互联
漏洞作者: lijiejie
提交时间:2012-10-26 16:45
修复时间:2012-12-10 16:45
公开时间:2012-12-10 16:45
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-26: 细节已通知厂商并且等待厂商处理中
2012-10-30: 厂商已经确认,细节仅向厂商公开
2012-11-09: 细节向核心白帽子及相关领域专家公开
2012-11-19: 细节向普通白帽子公开
2012-11-29: 细节向实习白帽子公开
2012-12-10: 细节向公众公开
简要描述:
移动多个省份网上营业厅的验证码设计存在严重缺陷,形同虚设。 包括陕西、四川、重庆、贵州、辽宁、云南、山东等
详细说明:
陕西移动网上营业厅的验证码设计存在严重缺陷
这体现在:
1. 验证码是规则纯数字,识别太简单。
2. 一次下载验证码,可反复使用,验证码不过期。
3. wap网厅,可直接查看用户个人信息(姓名、家庭住址等),缺少获取短信动态码的流程。 http://wap.sn.10086.cn/
我编写了一个用于破解网厅口令,批量扫号的小工具:
填入一个起始手机号,要破解的密码,即可开始批量检测。 密码不可为以下类型:
//连号:如“123456”或“345678”
//重复号码:如“666666”或“000000”
//客户手机号码中的连续6位数字
下载该测试工具(附VB6源代码):
http://www.lijiejie.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/get-SN10086-Users.zip
上述漏洞如果被非法利用,可能导致大量个人信息泄露。
漏洞证明:
修复方案:
修复的方法可以是:
1. 更换验证码,采用更好的设计。
2. 把验证码设计成每次提交后过期。
3. wap网厅,在获取敏感信息时,增加短信动态码获取。
四川移动、重庆移动也存在类似安全问题,其他省份未一一测试。
版权声明:转载请注明来源 lijiejie@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2012-10-30 22:38
厂商回复:
CNVD确认漏洞情况,已转由CNCERT统一协调中国移动集团公司处置。
这个验证码一次性验证的机制问题在CNVD网站开发过程中也存在过,可造成遍历或破解绕过。
涉及用户信息保护,rank 10
最新状态:
暂无