当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032723

漏洞标题:看我如重置暴风影音账户密码(需要与用户互交)

相关厂商:暴风影音

漏洞作者: xfkxfk

提交时间:2013-07-29 17:30

修复时间:2013-09-12 17:31

公开时间:2013-09-12 17:31

漏洞类型:CSRF

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-29: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经确认,细节仅向厂商公开
2013-08-09: 细节向核心白帽子及相关领域专家公开
2013-08-19: 细节向普通白帽子公开
2013-08-29: 细节向实习白帽子公开
2013-09-12: 细节向公众公开

简要描述:

暴风影音某处存在设计缺陷,导致被利用后,可劫持账户,重置用户密码。

详细说明:

1、问题出现在个人中心的邮件验证功能上:

http://i.baofeng.com/verify_email.html


我们拿用户tester123做测试。
首先看看tester123当前绑定的邮箱:

1.png


2、然后我们来看看设置验证邮箱的请求内容,抓了个包看看,这个包是xfkxfk123的设置验证邮箱时的请求包:

2-1.png


GET请求的啊
3、由于这里设置验证邮箱的功能存在CSRF,我们构造好url请求,让tester123访问看是否存在CSRF,构造的url如下:

user.baofeng.com/user/?a=sendCheckMail&email=827731626%40qq.com&callback=Security.setEmailResult


当tester123访问了如上url后,他的验证邮箱就会被更改,变成827731626@qq.com。
当然,如果tester123没有绑定验证邮箱的话,这样也是一样的效果。
tester123访问了上面的构造的url:

3.png


我们设置的邮箱顺利收到了邮件:

4.png


邮件中同时出现了用户名,哈哈,这里的用户名留着大有用处啊
我们点击验证url,成功更改了tester123的验证邮箱。

5.png


邮箱已经成功更改了,下面开始重置密码之旅。
打开忘记密码连接

http://i.baofeng.com/forget_password.html


输入邮箱中收到的用户名,然后就直接发送邮件了,给力啊给力。

6.png


7.png


哈哈,顺利收到密码重置邮件了:

8.png


9.png


成功重置密码。
通过csrf更改了用户的邮箱,同时加上用户名也得到了,而重置密码只需要用户名,这样就很顺利的重置了用户密码。
所以我们把更改验证邮箱的链接发到论坛,诱使用户点击,就等着收邮件了!!!
第二天,功夫不负有心人,终于等到了邮件!

10.png

漏洞证明:

见详细说明

修复方案:

最主要的防止scrf就好了

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-07-30 12:54

厂商回复:

感谢@xfkxfk发现并提交漏洞,我们会尽快修复漏洞,谢谢

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-29 17:36 | xfkxfk 认证白帽子 ( 核心白帽子 | Rank:2179 漏洞数:338 | 呵呵!)

    还是这个名字恰当啊,谢谢审核@疯狗,@xsser

  2. 2013-07-29 17:51 | 修码的马修 ( 实习白帽子 | Rank:55 漏洞数:10 )

    @xfkxfk 不恰当吧,仔细看看

  3. 2013-07-29 17:56 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    为毛不弄哇嘎的- -

  4. 2013-09-12 18:02 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    很好,非常好