当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014224

漏洞标题:猫扑验证码设计缺陷,扫号10万,成功破解782个

相关厂商:猫扑

漏洞作者: lijiejie

提交时间:2012-11-02 13:55

修复时间:2012-11-07 13:56

公开时间:2012-11-07 13:56

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-02: 细节已通知厂商并且等待厂商处理中
2012-11-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

猫扑登录页验证码,可以绕过,进行暴力破解。

详细说明:

猫扑登录页的验证码, http://passport.mop.com/login
无法发挥作用,这表现在:
即便出现了验证码,也可以不用输入验证码,直接绕过进行登录。
这属于最低级的一种验证码,也即:防得住人,防不住程序。
破解测试时发现,一秒钟可扫上百个帐号。
使用流出的CSDN帐号(密码)进行测试,扫号10万,成功破解782个。

漏洞证明:

fuckMOP.png

修复方案:

1. 解决验证码可以绕过的问题,一旦出现验证码,就必须输入验证码才可完成认证。
2. 一个IP在3小时内登录错误率到达上限(例如80%),强制要求输入验证码。 (个人思路)
3. 友情提醒: 攻击者在暴力破解时候,一般是不会带cookie/session的,不能把cookie作为唯一的依据。
3. 使用流出的各种帐号(例如600万CSDN)扫库,找到那些密码被泄露的用户,临时停用其帐号,发送短信/Email通知其修改密码,进行激活。

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-11-07 13:56

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2012-11-02 13:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这么坑爹

  2. 2012-11-02 14:08 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @xsser 签名有所指?

  3. 2012-11-02 14:10 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    坐等猫扑忽略

  4. 2012-11-02 14:31 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Finger 靠,你的提交了吗?把你的工具给我发来~~~~顺便也坐等忽略。。

  5. 2012-11-02 15:22 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @鬼魅羊羔 我的说是漏洞重复 不给通过,利用方法就我说的那个 跳转到你构建的钓鱼页 提示用户会话超时 要求重新登录

  6. 2012-11-02 15:25 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Finger 嗯,我昨天尝试了,貌似只能用构造钓鱼来实现,输入账号密码,记录……我发错人了,我本来打算跟shack2要工具来着。。

  7. 2012-11-02 15:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 尼玛聊天聊到这儿了

  8. 2012-11-02 15:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 。。。情不自禁啊。。。这还聊的少的,某一篇,估计聊了7~8句。。剑总,咱是不是也该弄个在线聊天啥的。。

  9. 2012-11-02 16:14 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    无乌云 不聊天啊

  10. 2012-11-07 14:59 | xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)

    忽略了@xsser

  11. 2012-11-07 15:08 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    个人感觉,密码确实是用户问题,多处使用相同的,而且csdn库公开后还没有进行修改。但是你主要通行证接口的安全隐患不能无视啊。。。啊。。。啊。。。

  12. 2012-11-07 15:29 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @xsjswt 嗯,这个的确不能忽略,求作者开源测试方法

  13. 2012-11-07 16:00 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    这个都能忽略……

  14. 2012-11-07 16:02 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    登录无验证码,本来是设计缺陷,兄弟们只要写个多线程爆破,必能出一堆

  15. 2012-11-07 16:03 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @shack2 正常,你就算把猫扑源码删除了,服务器盘格式化了,他照样忽略。。。

  16. 2012-11-07 16:07 | shack2 ( 普通白帽子 | Rank:470 漏洞数:71 | QQ:1341413415 一个热爱编程(Java),热爱网...)

    这个破解思路就是利用程序模拟http访问,判断http响应就能对此密码是否正确,估计会编程的,半个小时发布工具