当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036058

漏洞标题:7天连锁酒店动态口令卡服务泄漏API接口(可无限次穷举密码)

相关厂商:7天连锁酒店

漏洞作者: 休米

提交时间:2013-09-04 10:47

修复时间:2013-10-19 10:48

公开时间:2013-10-19 10:48

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-04: 细节已通知厂商并且等待厂商处理中
2013-09-04: 厂商已经确认,细节仅向厂商公开
2013-09-14: 细节向核心白帽子及相关领域专家公开
2013-09-24: 细节向普通白帽子公开
2013-10-04: 细节向实习白帽子公开
2013-10-19: 细节向公众公开

简要描述:

可暴力破解的API

详细说明:

通过强大的google搜索:site:7daysinn.cn filetype:htm 可以找到子站(http://mt.7daysinn.cn/DBQuery/Notice.htm)隐约泄漏出来的信息

QQ截图20130904004517.jpg


在google搜索列表中有一个叫“7天连锁酒店手机版动态口令验证码(dk.7daysinn.cn/About.htm)”的东西,打开之后可以很惊奇的发现有个修改密码的按钮

QQ截图20130904004856.jpg


QQ截图20130904004912.jpg


随便输入个帐号密码,点击确定,在burp suite我们可以看到修改密码的api请求连接

QQ截图20130904005139.jpg


通过这个连接提示我们可以直接打开http://dk.7daysinn.cn/api/API.asmx
这里面可以重置用户密码,测试用户是否有效,我们只要一项checkedUser就够了

QQ截图20130904005938.jpg


QQ截图20130904010147.jpg


随便输入个帐号密码,Invoke之后会提示验证失败

QQ截图20130904010316.jpg


同样在burp suite中我们也可以看到验证信息,在这里我们就可以暴力破解密码了(基于时间的关系,这里就不折腾了,实在太困了)

QQ截图20130904010328.jpg


漏洞证明:

QQ截图20130904005139.jpg


QQ截图20130904005938.jpg

修复方案:

屏蔽外部访问此api或者把这个修改密码移到需要先认证的地方

版权声明:转载请注明来源 休米@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-09-04 10:56

厂商回复:

谢谢 我们马上处理。

最新状态:

暂无

漏洞评价:

评论