当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019700

漏洞标题:前程无忧的一个密码找回漏洞

相关厂商:前程无忧(51job)

漏洞作者: 墨水心_Len

提交时间:2013-03-07 18:56

修复时间:2013-03-12 18:57

公开时间:2013-03-12 18:57

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:12

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-07: 细节已通知厂商并且等待厂商处理中
2013-03-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

近日感冒缠身,请了好几天的假,昨儿气色见好.....(这里还是简单点好)。

详细说明:

听说提洞写标题描述须谨慎。上面还是简单点好。
近日感冒缠身,请了好几天的假,昨儿气色见好。就拿起手机偶然滴就下了前程无忧的APP;
N久没登,于是就直达忘记密码填邮箱找回....偶然发现邮件验证码竟然是全数字,于是乎,职业病来袭了!(心想明儿来了再看看吧)。
谁料,时至现在才想起...
入正题:
1、看了看,只在移动端可行。就这一道就够了!

http://3g.51job.com/my/login.php


2、直接忘记密码->通过邮箱找回->写上你要XX的账号邮箱(这个不难得到吧,各种社工);

QQ截图20130307175613.png


3、成功后->点击重置密码,随便填入验证码,还有你那可爱的密码,并设置好代理。

2.png


4、抓包获取的请求如下:

POST /my/reset_password.php?step=reset_submit HTTP/1.1
Host: 3g.51job.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://3g.51job.com/my/reset_password.php?step=reset&verifycode=xxxx&id=xxx
Cookie: guid=13626475981965640089; nolife=fromdomain%3Dwww; wapsearch=areaid%3D170200; partner=wap
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 112
inputcode=123123&password1=他叫马赛克&password2=他也叫马赛克&verifycode=b1fd981aa08206ae6858e10d0e674023&id=45819963


一眼瞄出inputcode为短信验证码,password1和password2为重置密码,verifycode...这个形同虚设,id就不用介绍了吧。
拿出你那秀气的burp suite,向inputcode进军吧。

3.png


以便于测试,从374000开始。

4.png


通过返回的字节数来识别是否为正确的验证码。
错误时,字节数返回71xx,正确时返回6524;
错误:

5.png


正确:

6.png


真相:

7.png


漏洞证明:

见上。

修复方案:

1、verifycode形同虚设,多加几道验证吧。
2、6位纯数字短信码的爆破,即平均50万次的请求,我使用了burpsuite测试单台机器100线程,8分多钟即可重置任意一个手机账号!危险啊
3、短信码可以为6位纯数字,甚至可以缩短为4为纯数字;可以不设置图片验证码,甚至可以不用设置短信码的有效期。但是为什么不设置连续5次尝试失败就锁定本次密码重置的请求呢?
修复方案引用 @风萧萧 .

版权声明:转载请注明来源 墨水心_Len@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-12 18:57

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-08 22:04 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    是不是找回密码的链接可以无限次修改密码啊?我试了试,也就找到这个问题,不过问题看起来不是很大啊

  2. 2013-03-09 05:11 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    @苏南同学 童鞋说的不错,不过无限次修改这块,我测试时是有时间限制的,而且只对当前用户管用,不过童鞋可以把这个漏洞提交了。其他的鉴于漏洞隐私我只能说呵呵了。

  3. 2013-03-09 06:49 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @墨水心_Len 你的意思是你没有提及无限次修改这个地方。呵呵。那我也可以提交以下骗骗rank了。哈哈哈。

  4. 2013-03-09 07:20 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @墨水心_Len 我提交了呢

  5. 2013-03-09 09:15 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    @苏南同学 嗯嗯啊啊啊,只要到@xsser 那儿审核能过就行啊。

  6. 2013-03-13 06:48 | 苏南同学 ( 实习白帽子 | Rank:41 漏洞数:5 | 苏南同学,就是苏南同学~~~)

    @墨水心_Len 剑心么有给我过....审核未通过...