当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-028008

漏洞标题:新浪某站点修改任意用户密码

相关厂商:新浪

漏洞作者: momo

提交时间:2013-07-06 23:41

修复时间:2013-08-20 23:41

公开时间:2013-08-20 23:41

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-06: 细节已通知厂商并且等待厂商处理中
2013-07-07: 厂商已经确认,细节仅向厂商公开
2013-07-17: 细节向核心白帽子及相关领域专家公开
2013-07-27: 细节向普通白帽子公开
2013-08-06: 细节向实习白帽子公开
2013-08-20: 细节向公众公开

简要描述:

RT
听说新浪的礼物很丰厚?

详细说明:

一、url未加密,导致能看到任意用户真实手机号码
二、通过url可以在找回密码时换成任意手机号码找回
三、登陆进去后,可以修改任何人的资料包括手机号码
是房产网,信息很值钱的。
问题URL导致:
http://j.esf.sina.com.cn/login/retrievepsd
下面我用admin来作为例子,如下图

1.jpg


我们按要求进入下一步,如下图

2.jpg


这时我们能够看到:
页面上的手机号码中间4位被*了,而url上面却没有加密,而是直接显示的,接下来就是把url上的手机号码改成自己的手机号码(为了接受到找回密码的短信)
修改完成后,我们得到如下页面:

3.jpg


OK,接下来点击“获取验证码”,让我们手机接收下验证码吧

4.jpg


叮咚,验证码发到手机了,如下图

5.jpg


好了,接下来,我们输入验证码来修改'admin'的密码吧

6.jpg


看到这个图,
我想大家都知道,
已经成功一大半了,
为什么说还有一小半没有成功呢?
因为我们还不敢确定是不是修改的'admin'的密码嘛

7.jpg


那么我们来把密码修改为:wooyun吧
(修改密码就是把上图需要改密码的修改成自己所要改的密码,这个大家都懂)
下图是密码修改完成的截图

8.jpg


好了,
密码也修改完成了,
那么接下来我们就能试下我们刚才修改的'admin'能否登陆吧(密码是wooyun)

9.jpg


OK,成功登陆啦。

10.jpg


下面来证明下上图的那个186的手机号码是和admin一致的:

11.jpg


漏洞证明:

应该不需要我把贵企业此站的每个会员账户密码改掉才算证明吧?
上面'详细说明'中那么详细的步骤足以能够证明了

修复方案:

1,url加密下
2,防止burp抓包

版权声明:转载请注明来源 momo@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2013-07-07 07:42

厂商回复:

感谢对新浪安全的支持。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-06 23:52 | 橙夏 ( 实习白帽子 | Rank:35 漏洞数:4 | 喵呜喵呜喵呜呜呜 喵呜呜喵呜呜呜呜 喵呜呜...)

    这么厉害

  2. 2013-07-06 23:53 | 好人 ( 路人 | Rank:13 漏洞数:6 | 多少人曾爱慕你年轻的容颜)

    可惜不是主站

  3. 2013-07-07 00:40 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @好人 :)

  4. 2013-07-07 09:17 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    啥都木有吧= = 撑死给个公仔。。。企鹅身子的。。。O(∩_∩)O~·

  5. 2013-07-07 11:23 | momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)

    @小震 什么都没! rank才6

  6. 2013-07-17 08:11 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    小弟不才,如何防止burp抓包?不太实际貌似

  7. 2013-08-06 16:32 | 姿势不行 ( 路人 | Rank:22 漏洞数:7 | 我是爱卖萌的小阿狸呀http://www.qinqinyo....)

    瞎扯淡,你做个网站防止抓包的试试

  8. 2013-08-06 18:07 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    小伙伴们看到防止抓包都惊呆了

  9. 2013-08-07 17:33 | Wenien ( 路人 | Rank:27 漏洞数:3 | 既然目标是地平线,留给世界的只能是背影。)

    看到你手机号了。