当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032731

漏洞标题:暴风影音某处CSRF可重置任意用户密保

相关厂商:暴风影音

漏洞作者: xfkxfk

提交时间:2013-07-29 19:05

修复时间:2013-09-12 19:05

公开时间:2013-09-12 19:05

漏洞类型:CSRF

危害等级:低

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-29: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经确认,细节仅向厂商公开
2013-08-09: 细节向核心白帽子及相关领域专家公开
2013-08-19: 细节向普通白帽子公开
2013-08-29: 细节向实习白帽子公开
2013-09-12: 细节向公众公开

简要描述:

暴风影音某处CSRF可重置任意用户密保

详细说明:

问题在个人中心的密码保护问题上。
我们先看看xfkxfk123用户的密码问题:

1.png


下面我们来设置tester123用户的密保问题,然后抓包:

2.png


4.png


3.png


这里是GET请求,没有限制csrf。

重点是:
1、这里的请求有username参数,但是这个username没有的话也是一样的
2、这里有些用户已经设置了密码问题,再页面上重新设置时,需要回答之前的问题。但是在这里我们抓包测试,可以跳过回答问题,直接重置密码问题


我们构造好请求连接:

http://user.baofeng.com/user/?a=setQuestion&question1=%E6%9A%B4%E9%A3%8E%E5%BD%B1%E9%9F%B3&answer1=%E6%9A%B4%E9%A3%8E%E5%BD%B1%E9%9F%B3&callback=Security.setQuestionResult


问题和答案都是:暴风影音
然后xfkxfk123访问了这个连接后就会重置其密保问题:

5.png


6.png


通过返回状态,以及从页面上看都已经成功重置了xfkfk123的密保,也没有输入之前的密保问题,成功绕过。如果用户没有设置密保也一样为其设置了我们控制的密保。
再回到忘记功能上:
1、如果用户没有设置密保,输入用户名则,直接发送密码重置连接。
2、如果用户设置了密保,输入用户名后,会让输入密保问题,然后发送密码重置连接。
利用传送门
WooYun: 看我如重置暴风影音账户密码(需要与用户互交) ——邮箱绑定CSRF
结合这里密保重置的CSRF也可以重置用户密码。

漏洞证明:

见详细说明

修复方案:

防止csrf就差不多了
还有重置密保前必须回答之前密保。

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-07-30 12:08

厂商回复:

感谢@xfkxfk发现并提交漏洞,我们已经尽快将漏洞修复,稍后会联系您,赠送您一份小礼品。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-30 02:25 | 佩佩 ( 实习白帽子 | Rank:62 漏洞数:8 | 一个热衷于网络安全的白帽子,具有很强的逻...)

    @xfkxfk 上次团800重置任意密码的 我测试了还没测试出来.大牛求指教