当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019864

漏洞标题:手机应用挖财的网站cookie加密算法较弱可进行伪造

相关厂商:杭州财米科技有限公司

漏洞作者: huiguixian

提交时间:2013-03-11 17:38

修复时间:2013-03-11 17:51

公开时间:2013-03-11 17:51

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-11: 细节已通知厂商并且等待厂商处理中
2013-03-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

装了挖财,因为想同步数据,所以先测试了一番,却在cookie上发现了这个问题。
通过一定手段可以伪造其他人的cookie进行登录,可以访问财务信息,登录论坛等,如果伪造管理员的,搞掉服务器应该也不是很忙难事吧(只YY,不深入)。具体细节看下面详细内容吧 :)

详细说明:

挖财的cookie的加密强度还不够,而且只认证了用户名,具体的加密算法想了半天没想出来(数学都忘差不多了 - -),不过能够感觉出并不复杂。cookie中的user字段应该保存的是用户注册邮箱。抓包搞到的cookie一看就是base64编码,解码之后是乱码,但用十六进制表示可以看到位数和注册邮箱位数是一致的。通过分析发现,虽然每个字符在不同位置上加密后的值是不一样的,但在同一位置却是保持不变的,所以就想到下面的方法来伪造一个合法的cookie。

漏洞证明:

具体的测试过程:
自己先注册了一个帐号 t0x6@x.com ,填了一些消费记录,作为攻击目标

1.jpg


因为我们已经知道在相同位置上的字符加密之后的值是一样的,所以,我们需要注册两个帐号来拼接一下这个目标用户。
两个用户之间需要有一个字符的差别,所以我注册以下两个帐号:
x0x6@x.com
tu0s@x.com
我们只需要将第二个用户cookie base64解码后的第一个字符替换第一个用户base64解码后的第一个字符,然后进行base64加密,就完成了伪造目标用户cookie的过程
记录第二个用户的cookie base64解密后的第一个字符

2.jpg


可以看到是11然后对第一个用户的cookie进行修改

3.jpg


将1d修改为11然后再次进行base64加密,生成目标cookie

4.jpg


然后就可以利用cookie登录网站了 :D
修改cookie

5.jpg


刷新就显示已经登录了

6.jpg


财务状态一览无余

7.jpg


当然也可以登录论坛

8.jpg

修复方案:

修改加密算法,要复杂一些

版权声明:转载请注明来源 huiguixian@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-11 17:51

厂商回复:

已经和提交人确认是他的误报,请看评论。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-11 15:22 | huiguixian ( 实习白帽子 | Rank:31 漏洞数:4 | 回归线,终点亦起点)

    经过和厂家技术人员沟通了解到,其实cookie里面是有密码因素在里面的,只不过我测试的时候三个帐号密码都一样,所以造成可以伪造,非常抱歉!

  2. 2013-03-11 18:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @huiguixian 囧啊 囧啊 囧啊

  3. 2013-03-11 18:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @huiguixian 不过蛮有意思

  4. 2013-03-11 18:43 | huiguixian ( 实习白帽子 | Rank:31 漏洞数:4 | 回归线,终点亦起点)

    @xsser 确实挺尴尬的,不过没准真有类似的场景会出现问题 :)

  5. 2015-02-04 09:28 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    思路很好啊,学习了