当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013915

漏洞标题:陕西、四川、重庆等移动网上营业厅验证码设计缺陷

相关厂商:139移动互联

漏洞作者: lijiejie

提交时间:2012-10-26 16:45

修复时间:2012-12-10 16:45

公开时间:2012-12-10 16:45

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-26: 细节已通知厂商并且等待厂商处理中
2012-10-30: 厂商已经确认,细节仅向厂商公开
2012-11-09: 细节向核心白帽子及相关领域专家公开
2012-11-19: 细节向普通白帽子公开
2012-11-29: 细节向实习白帽子公开
2012-12-10: 细节向公众公开

简要描述:

移动多个省份网上营业厅的验证码设计存在严重缺陷,形同虚设。 包括陕西、四川、重庆、贵州、辽宁、云南、山东等

详细说明:

陕西移动网上营业厅的验证码设计存在严重缺陷


这体现在:
1. 验证码是规则纯数字,识别太简单。
2. 一次下载验证码,可反复使用,验证码不过期。
3. wap网厅,可直接查看用户个人信息(姓名、家庭住址等),缺少获取短信动态码的流程。 http://wap.sn.10086.cn/
我编写了一个用于破解网厅口令,批量扫号的小工具:


填入一个起始手机号,要破解的密码,即可开始批量检测。 密码不可为以下类型:

//连号:如“123456”或“345678”
//重复号码:如“666666”或“000000”
//客户手机号码中的连续6位数字

下载该测试工具(附VB6源代码):
http://www.lijiejie.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/get-SN10086-Users.zip
上述漏洞如果被非法利用,可能导致大量个人信息泄露。

漏洞证明:

修复方案:

修复的方法可以是:
1. 更换验证码,采用更好的设计。
2. 把验证码设计成每次提交后过期。
3. wap网厅,在获取敏感信息时,增加短信动态码获取。
四川移动、重庆移动也存在类似安全问题,其他省份未一一测试。

版权声明:转载请注明来源 lijiejie@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-10-30 22:38

厂商回复:

CNVD确认漏洞情况,已转由CNCERT统一协调中国移动集团公司处置。
这个验证码一次性验证的机制问题在CNVD网站开发过程中也存在过,可造成遍历或破解绕过。
涉及用户信息保护,rank 10

最新状态:

暂无


漏洞评价:

评论

  1. 2012-10-27 00:07 | LeadUrLife ( 普通白帽子 | Rank:103 漏洞数:14 | 好好学习 天天向上)

    好吧,右击源码有惊喜。。。唉 最终还是被爆出来了。。

  2. 2012-10-30 09:17 | along ( 实习白帽子 | Rank:45 漏洞数:7 | 关注信息安全,阿龙)

    这些都实测过,还是仅目测?期待中......

  3. 2012-12-10 21:08 | edgerror ( 路人 | Rank:5 漏洞数:1 )

    陕西移动改了,数字变成字母,别的都没做.继续爆吧

  4. 2012-12-13 11:13 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联: WooYun: 百度币卡充值图片验证码无效 (验证码没贯彻一次性验证)