漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-049007
漏洞标题:百度安全中心手机版设置有问题
相关厂商:百度
漏洞作者: cnrstar
提交时间:2014-01-16 15:19
修复时间:2014-03-02 15:19
公开时间:2014-03-02 15:19
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-16: 细节已通知厂商并且等待厂商处理中
2014-01-16: 厂商已经确认,细节仅向厂商公开
2014-01-26: 细节向核心白帽子及相关领域专家公开
2014-02-05: 细节向普通白帽子公开
2014-02-15: 细节向实习白帽子公开
2014-03-02: 细节向公众公开
简要描述:
我感觉算是很大的风险了,小伙伴们怎么看
详细说明:
手机客户端(只测试安卓的)打开不需要任何验证,直接进入了。。
带来的风险就是:手机丢了或者被别人"借用"完全可以控制百度账户。
我测试了重置我的百度密码https://passport.baidu.com/?getpassindex&tpl=mn&u=http%3A%2F%2Fwww.baidu.com%2F,完全没问题啊,扫一下二维码直接重置。
如果只是百度的贴吧啊什么的还无所谓,重点是现在百度还有理财产品,我在8.baidu.com里放的钱也受到很大的风险,如果手机一丢,里面的钱也就杯具了。。
漏洞证明:
还有个问题,今天在考虑手机丢了这回事,如果手机一丢会导致很多关联的帐号密码全部受风险,各种密码都很容易被重置掉。关于怎么解决这个问题有个想法:
我们是不是可以做个类似token+pin那种,在利用手机重置密码的时候也增加一个pin码,也就是同时输入"PIN+手机号"才可以发从重置短信。
当然这样子带来的就是用户需要额外记住一个PIN,可能会影响用户体验,那是否可以作为可选项呢?给那些愿意记住PIN增加安全性的人用。
或者如果忘记PIN就自己申诉,这样子就不用担心手机丢了。。
修复方案:
像QQ的安全中心或者支付宝那样子加个进入密码或者图案验证。
版权声明:转载请注明来源 cnrstar@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2014-01-16 15:53
厂商回复:
感谢建议,我们会持续更新完善安全策略。
最新状态:
暂无