漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-044195
漏洞标题:百度存在某可进行无限尝试用户密码的接口
相关厂商:百度
漏洞作者: 路人甲
提交时间:2013-11-27 15:30
修复时间:2014-01-11 15:30
公开时间:2014-01-11 15:30
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-27: 细节已通知厂商并且等待厂商处理中
2013-11-27: 厂商已经确认,细节仅向厂商公开
2013-12-07: 细节向核心白帽子及相关领域专家公开
2013-12-17: 细节向普通白帽子公开
2013-12-27: 细节向实习白帽子公开
2014-01-11: 细节向公众公开
简要描述:
百度存在某可进行无限尝试用户密码的接口,可以进行暴力破解百度任意账号或扫号操作。
详细说明:
在某贴吧辅助网站(http://www.258**.com/)发现发布了”【挂号机:苍海狂扫·挂机版1.5】”,说明可能存在可以进行暴力破解的接口,对其进行逆向工程后发现如下信息:
猜测可得,实际地址为:http://openapi.baidu.com/oauth/2.0/authorize?response_type=code&client_id=forrwjpq8in3sihmkqw1pep3&redirect_uri=http%3a%2f%2fwww.renren.com%2fbind%2fbaidu%2fbaidulogincallback&confirm_login=2
HTTP协议中POST提交地址为:https://openapi.baidu.com/oauth/2.0/userlogin
提交数据为:
username=用户名&password=密码&verifycode=&vcodestr=&type=3&nonce=NONCE&logintoken=TOKEN&jumpurl=http%3a%2f%2fopenapi.baidu.com%2fstatic%2foauth%2fhtml%2fjump.html&isphone=0&isdpass=0&lang=zh_cn
其中NONCE重复利用后可进行无限重复利用
漏洞证明:
关于漏洞证明,由于本人无时间进行证明,但可通过如下方法:
1、首先通过详细说明的数据包进行提交
2、登录10次之后出现验证码之后使用NONCE和TOKEN重复提交达到欺骗服务器方法,绕过验证码和防御
作者所说地址:http://www.258**.com/thread-126564-1-1.html
“
利用一个最新的端口,不过为了跳过防御,做的是挂机版,就是什么都不需要设置,自己再后台龟速慢慢扫,支持开机自启动。
电脑开着的话,不占用网速和内存的情况下,一天自动出几十到百个号。”
软件地址:http://www.258**.com/thread-126584-1-1.html
注:**处为ch
可自行抓SSL包进行测试
修复方案:
直接干掉“https://openapi.baidu.com/oauth/2.0/userlogin”这个地址
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2013-11-27 17:25
厂商回复:
感谢提交,该接口目前使用的安全监测阈值稍大,确实可以针对部分密码弱口令且不常登录的百度帐号进行扫号尝试,但百度还存在其他维度的帐号风控,盗号者根本无法进行大量尝试,因此正常百度用户不受影响。当前该阈值已大幅调低以修复该问题。百度帐号风控系统目前会实时检测各接口的异常登录数据及其存在的风险,对于被扫到的有风险的弱密码帐号,也会全部做锁定帐号处理,提示用户验证密保工具并重新设置密码。
最新状态:
暂无