当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017177

漏洞标题:乐视网xss可以获取身份信息CSRF也可以拿他人账号

相关厂商:乐视网

漏洞作者: 风萧萧

提交时间:2013-01-11 10:21

修复时间:2013-02-25 10:22

公开时间:2013-02-25 10:22

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-11: 细节已通知厂商并且等待厂商处理中
2013-01-11: 厂商已经确认,细节仅向厂商公开
2013-01-21: 细节向核心白帽子及相关领域专家公开
2013-01-31: 细节向普通白帽子公开
2013-02-10: 细节向实习白帽子公开
2013-02-25: 细节向公众公开

简要描述:

一个CSRF的另类应用

详细说明:

1.首先登入乐视网,进入个人设置页面:

0.jpg


2.看到目前已经绑定了相关的QQ邮箱,点击更换我的邮箱:

2.jpg


3.设置好需要更换的邮箱后,点击发送,这是抓包将请求拦截,原来是一个GET请求

http://my.letv.com/my_setting.php?action=outemail&bingEmail=********@qq.com

漏洞证明:

4.将这个链接发送给指定的乐视网用户,对方只要点击了,我的邮箱就会收到绑定的邮件,当然更隐蔽的利用方式在乐视网的留言地方以<img>插入上述GET请求即可,只要有人看到就会中招:

3.jpg

4.jpg


5.我点击上述地址,成功更换邮箱!

5.jpg


6.然后就是通过密码找回,获取他人帐号信息了!

修复方案:

1.CSRF不设防啊!要注意检查全站哦!
2.在这个问题上和其他网站的区别是:别的网站对于已经绑定的邮箱,首先要先解绑!可通过发送解绑链接到原邮箱、或者通过绑定的手机进行解绑,但是这里什么都没有;
3.关键接口没有做用户验证,比如提示用户首先输入密码才可绑定邮箱或手机,哪怕设置一个图片验证码也可防止这种情况;
4.礼物啊礼物,好久没收到了!能来一个么?

版权声明:转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-01-11 10:44

厂商回复:

最近大家都开始关注CSRF啦,感谢帮忙挖掘,我们会尽快处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-01-11 10:52 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    18!!

  2. 2013-01-11 12:14 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    @Passer_by 虚名啊

  3. 2013-01-12 11:25 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    CSRF 和 xss 很火

  4. 2013-01-14 10:07 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    关注萧兄!