漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020332
漏洞标题:爱丽网某逻辑漏洞可导致他人手机号码被强制修改
相关厂商:aili.com
漏洞作者: 小胖子
提交时间:2013-03-20 11:42
修复时间:2013-05-04 11:43
公开时间:2013-05-04 11:43
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-20: 细节已通知厂商并且等待厂商处理中
2013-03-20: 厂商已经确认,细节仅向厂商公开
2013-03-30: 细节向核心白帽子及相关领域专家公开
2013-04-09: 细节向普通白帽子公开
2013-04-19: 细节向实习白帽子公开
2013-05-04: 细节向公众公开
简要描述:
小缺陷。
详细说明:
问题地点:爱丽团购。
存在问题:
1.用户绑定任意手机号。(爆破,不严重)
2.在用户A登录的情况下强制B用户绑定手机号为A的手机。
由于爱丽网密码找回在白帽子们的冲击下还是选择了邮箱找回,所以通过手机重置密码的愿望落空。邮箱的code码算法暂时没猜解出来,就挖了下这两个小问题。
1.burp下绑定任意手机号。
在绑定手机,获取验证码后得知,验证码为6位纯数字.
然后爆破参数.
瞎弄的手机号
这个缺陷不严重,但是最好还是修复,加上限制次数.
下面这个问题,就有点了,强制绑定别人的手机号为我们的,经测试会影响如到,如果此会员设定了默认收货人和地址,会影响到默认收货人的号码.
步骤:
1.登录自己的帐号,绑定一个自己的手机号,会在后台看到自己已经绑定的手机.
2.新增手机绑定.
在获取验证码后,填写手机验证码时,抓包修改UID。
然后提交。
3.会发现提示绑定成功。
4.然后发现自己账户原本绑定的手机号“被消失”。
5.登录UID对应账户,发现手机号“被绑定”,原先绑定的手机号“被消失”。
漏洞证明:
见详细说明。
修复方案:
绑定手机验证码次数做限制,并且对绑定时候的UID进行比对,防止越权。
版权声明:转载请注明来源 小胖子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2013-03-20 17:25
厂商回复:
谢谢对我们的关注,这个问题正在处理中……
最新状态:
暂无