当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-031954

漏洞标题:团800oauth缺陷可能导用户帐号被劫持

相关厂商:团800

漏洞作者: VIP

提交时间:2013-07-23 17:08

修复时间:2013-09-06 17:09

公开时间:2013-09-06 17:09

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-23: 细节已通知厂商并且等待厂商处理中
2013-07-24: 厂商已经确认,细节仅向厂商公开
2013-08-03: 细节向核心白帽子及相关领域专家公开
2013-08-13: 细节向普通白帽子公开
2013-08-23: 细节向实习白帽子公开
2013-09-06: 细节向公众公开

简要描述:

团800给站长提供了一个oauth api,所有网站都可以通过这个API实现团800帐号登录自己的网站。但是,在团800oauth认证流程中存在一个缺陷,可导致使用该网站oauth api的网站用户帐号都可被劫持,这里用去哪儿网(使用了团800 oauth api)做个测试。

详细说明:

团800使用的oauth版本是oauth1.0,聪明的你想到了什么?
没错,oauth1.0中存在着一个严重缺陷,就是没有对回调参数oauth_callback做限制,导致可以回调到任意网站。
去哪儿网在团800的授权网址是这样的:

http://api.tuan800.com/oauth/oauth/authorize?oauth_token=91ee14dfe2174d4286a2f8889d85f29d&oauth_callback=http%3A%2F%2Foauth.qunar.com%2Foauth-client%2Ftuan800%2Flogin%3Foauth_secret%3D27e05124d45b2131e3e5e20181f260ac


那么,恶意篡改oauth_callback的值

http://api.tuan800.com/oauth/oauth/authorize?oauth_token=efeda64521c2576a827769384c045cd0&oauth_callback=http://wooyun.org


当用户点击授权后,就会把oauth_verifier和oauth_token回调到攻击者的网址,攻击者获得了这两个值后,就可以任意登录用户帐号了。
如果攻击者设置好一个接受这两个值的网页,接收到入库后又回调到相应的网站,简直是天衣无缝啊!!!!!!

漏洞证明:

xxxx.jpg

修复方案:

升级到oauth2.0,强制所有使用了原1.0API的网站升级。

版权声明:转载请注明来源 VIP@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-07-24 10:13

厂商回复:

感谢您对团800的支持,谢谢

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-23 19:43 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    厂商还是挺有效率的,下午去联系了下,就来认领了。

  2. 2013-07-23 22:12 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    @VIP 前排围观小学生。。。

  3. 2013-07-24 09:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    洞主是rank最高的实习