漏洞概要
关注数(24)
关注此漏洞
漏洞标题:来往导致淘宝账号可被破解波及余额宝支付宝
提交时间:2013-10-29 17:42
修复时间:2013-12-13 17:43
公开时间:2013-12-13 17:43
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2013-10-29: 细节已通知厂商并且等待厂商处理中
2013-10-30: 厂商已经确认,细节仅向厂商公开
2013-11-09: 细节向核心白帽子及相关领域专家公开
2013-11-19: 细节向普通白帽子公开
2013-11-29: 细节向实习白帽子公开
2013-12-13: 细节向公众公开
简要描述:
来往导致淘宝账号可被破解,波及余额宝支付宝
详细说明:
来往可用淘宝账号登陆,登陆时无验证码,每个账号有20次登录密码错误次数。(错误20次会禁止登陆大约1小时)
为了证明影响,随便找了网上一份库进行了测试,
测试数据1W条,其中成功撞到淘宝账户的492条,约占5%
其中大部分人的淘宝密码和支付宝密码是一样的,这样又会影响到支付宝
现在淘宝有几亿用户,用一个大的社工库扫一下能撞出不少账号来
到网上找个泄露的社工密码库撞库,可以命中很多账户。
直接的影响包括泄露淘宝订单记录,联系人信息等。
大部分淘宝账户和支付宝是打通的,虽然没有支付密码,但是有小额(200元)免密码等方式可以盗用金额。
漏洞证明:
泄露的登陆接口, HTTPS,POST参数
参数为
其中client_id和client_secret是来往的key,固定不变。
username和password为淘宝账号和密码,实际上此处填写来往账号和密码也可以,一个接口影响了两份用户数据。
修复方案:
版权声明:转载请注明来源 fox@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2013-10-30 13:51
厂商回复:
非常感谢您的报告。这个风险我们之前已经部署相关安全策略做限制。目前已着手采取更严格的策略进一步降低风险,请大家放心使用来往:)
最新状态:
暂无
漏洞评价:
评论
-
2013-10-29 18:06 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
-
2013-10-29 21:14 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-29 22:08 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
怪不得我的账号在2013年10月29日22:10:48 登陆不上去了,真可恨
-
2013-10-29 22:10 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
-
2013-10-29 22:12 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
-
2013-10-29 22:15 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
@fox 我支付宝里十几块钱被冻结了你说是不是你干的?
-
2013-10-29 22:17 |
小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)
@Mas @fox 无语,你还真别说,我的支付宝也冻结了,我里面还有30充话费呢,~~~~(>_<)~~~~
-
2013-10-29 22:22 |
天朝城管 ( 普通白帽子 | Rank:116 漏洞数:35 | 不要等到命玩你的时候才开始玩命)
@fox 我卡里面准备了6000块钱打算买土豪金的 今天发现没有了 是不是你干的 老实交代
-
2013-10-29 23:47 |
Metas ( 路人 | Rank:9 漏洞数:2 )
@fox 我本来准备收购诺基亚公司的钱,是不是你干的,害的被微软抢了。。
-
2013-10-30 00:49 |
Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)
-
2013-10-30 09:45 |
雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)
-
2013-10-30 10:29 |
Mr.Jen ( 路人 | Rank:13 漏洞数:2 | 开放自由)
感谢你对我们的支持与关注,该问题已有白帽子通过asrc提交过~谢谢
-
2013-10-30 10:34 |
木马人 ( 普通白帽子 | Rank:113 漏洞数:25 | 白,灰,黑)
-
2013-10-30 10:37 |
icefish ( 普通白帽子 | Rank:104 漏洞数:8 | 欢迎大家和我用邮件进行交流~)
-
2013-10-30 11:38 |
est ( 路人 | Rank:2 漏洞数:1 | 本id和邪㈧组织无关,虽然也在论坛混过。)
估计是session串门了!乌云可以开个猜对得奖功能!
-
2013-10-30 11:40 |
无尾熊 ( 路人 | Rank:14 漏洞数:2 | 菜鸟一枚。。。学习安全技术中。 。。)
-
2013-10-30 12:26 |
jeffreys125 ( 实习白帽子 | Rank:63 漏洞数:14 | 懒人。。)
-
2013-10-30 12:36 |
zathing ( 路人 | Rank:20 漏洞数:2 | 广告位招租)
-
2013-10-30 12:36 |
Mas ( 实习白帽子 | Rank:42 漏洞数:15 )
-
2013-10-30 17:40 |
菊部地区有血 ( 路人 | Rank:4 漏洞数:1 | 广告位出租。。。)
-
2013-10-30 17:47 |
Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)
-
2013-10-30 18:38 |
啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )
-
2013-10-30 23:20 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
@Mr.Jen 一周前我的确是提交给了asrc,不过等了一周没响应我就交到乌云了,感觉还是乌云效率高一些啊
-
2013-10-30 23:22 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
@jeffreys125 新闻估计也没看到漏洞详情吧,倒是没有新闻炒作那么厉害,主要是来往一个接口可以用淘宝号登陆,会引起撞库和爆破,我试了一下还是撞出了挺多的账号
-
2013-10-31 09:48 |
大和尚 ( 实习白帽子 | Rank:49 漏洞数:5 | www.ieroot.com 积极向上的心态!百折不挠...)
-
2013-10-31 13:37 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
@fox 没有验证码的撞库?前几天不是KJ才分享了他们对扫号的有些防范措施。
-
2013-10-31 19:52 |
fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)
@齐迹 那倒是不太清楚,麻烦给个传送门,其实这个洞我上周是交到asrc的,不过一直没回应就发过来了
-
2014-01-28 17:53 |
路过的卡卡西 ( 路人 | Rank:0 漏洞数:1 | 边缘人)
-
2014-01-28 21:36 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
-
2014-01-28 22:21 |
路过的卡卡西 ( 路人 | Rank:0 漏洞数:1 | 边缘人)
@齐迹 哈,昨天刚下载了你的程序,打算二次开发下,加入打印程序,可以吗
