当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065743

漏洞标题:某电商某后台可暴力破解,大量弱口令,验证破解316个账号

相关厂商:美团网

漏洞作者: lijiejie

提交时间:2014-06-21 16:58

修复时间:2014-08-05 17:00

公开时间:2014-08-05 17:00

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-21: 细节已通知厂商并且等待厂商处理中
2014-06-23: 厂商已经确认,细节仅向厂商公开
2014-07-03: 细节向核心白帽子及相关领域专家公开
2014-07-13: 细节向普通白帽子公开
2014-07-23: 细节向实习白帽子公开
2014-08-05: 细节向公众公开

简要描述:

某电商某后台可以暴力破解,发现大量弱口令。 验证破解帐号若干

详细说明:

目前是从web入手暴力破解的: http://e.meituan.com/
有几个问题:
1)错误提示过于详细,可以猜解用户名。这把攻击者的扫描工作降低了一个指数级。
2)IP有过滤,不能访问过快。 但可被攻击者绕过。
我采用的方法是:挂72个HTTP代理,随机产生SID,30个扫描线程。
如果遇到IP被临时封禁,就随机换另一个代理继续尝试。
3)弱口令较多,建议在注册、修改密码处增加强度限制。
4)目前还没有启用验证码

漏洞证明:

meituan.PNG


login=afu&password=12345678
login=ata&password=123456
login=awei&password=12345678
login=aikang&password=123456 
login=aimei&password=111111
login=aimu&password=123456
login=anjin&password=123456
login=anjing&password=123456
login=anshun&password=123456
login=angle&password=123456
login=aoti&password=123456
login=aoyuan&password=123456789
login=aoyou&password=123456
login=bama&password=123456
login=banghao&password=123456  
login=baojian&password=123456789
login=baoli&password=123456 
login=baolong&password=123456  
login=baoting&password=12345678
login=baoxiang&password=123456
login=beiou&password=123456
login=binge&password=11223344
login=binjiang&password=123456789
login=bobo&password=123456
login=boyuan&password=123456
login=caoyang&password=123456
login=changxin&password=123456789
login=chaoji&password=123456
login=chezhan&password=123456
login=chencong&password=111111
login=chenjie&password=000000
login=chenxue&password=000000
login=chenyu&password=111111
login=chengshan&password=123456
login=chihao&password=123456
login=chijia&password=123456
login=chuke&password=12345678
login=chuansha&password=123456
login=cikai&password=1234567890
login=cuiwei&password=123456789
login=cuiye&password=123456
login=dakang&password=123456
login=daning&password=123456
login=daming&password=123456
login=daixian&password=123456789
login=dehao&password=123456
login=dinghao&password=123456
login=dingwei&password=111111
login=dongguan&password=123456
login=dongmen&password=123456
login=donglin&password=111111
login=duihuan&password=88888888
login=duoduo&password=123456
login=fangchao&password=123456789
login=fangyang&password=123456
login=feike&password=123456
login=feiniu&password=000000
login=feifei&password=123456
login=fengkuang&password=123456
login=fengjin&password=123456
login=fengxian&password=123456
login=fukuan&password=123456
login=ganghui&password=123456
login=gaojing&password=123456789
login=gaochun&password=123456789
login=geting&password=123456
login=geshang&password=147258369
login=gongshi&password=123456
login=gongxue&password=000000
login=gubei&password=123456
login=guanzhu&password=123456789
login=guode&password=123456
login=guoran&password=123456
login=guotai&password=123456
login=haier&password=12345678
login=hailan&password=123456
login=haishang&password=123456
login=hanshi&password=123456
login=haoniu&password=123456
login=haozao&password=123456
login=haosi&password=123456
login=hengji&password=123456
login=hengshan&password=123456
login=hongfu&password=123456
login=hongqiao&password=123456
login=hongjing&password=000000
login=hongxiu&password=123456
login=hongwei&password=123456
login=hongyi&password=123456
login=huachi&password=123456
login=huagui&password=123456
login=huajin&password=123456
login=huachao&password=123456
login=hualu&password=123456
login=huayu&password=123456
login=huanyi&password=123456
login=huanle&password=123456789
login=huangxing&password=123456
login=huirong&password=123456
login=jiji&password=123456
login=jidao&password=123456789
login=jixiang&password=123456
login=jiading&password=123456
login=jiahe&password=123456
login=jiahua&password=123456789
login=jiana&password=123456789
login=jiamei&password=123456
login=jianai&password=123456
login=jianai&password=123456
login=jiana&password=123456789
login=jianteng&password=123456
login=jianghui&password=12345678
login=jiaotai&password=123456
login=jiaozhou&password=123456
login=jieba&password=123456
login=jieyu&password=123456
login=jieyi&password=123456
login=jieyuan&password=123456
login=jingan&password=123456
login=jinjin&password=123456
login=jinbang&password=123456
login=jinma&password=123456
login=jingan&password=123456
login=jiulin&password=123456
login=jiuxian&password=000000
login=juli&password=111111
login=kadang&password=123456
login=katong&password=123456
login=kaisa&password=123456
login=kaiwei&password=123456
login=kanghui&password=123456
login=kangkai&password=000000
login=kangli&password=123456
login=kaoyan&password=123456789
login=kela&password=123456
login=kelan&password=123456
login=kongzhong&password=123456
login=kuaizi&password=123456
login=kuaiwang&password=123456
login=laimei&password=123456789
login=languang&password=123456
login=lanse&password=123456789
login=lansheng&password=123456
login=lechen&password=123456
login=lemin&password=11111111
login=lifang&password=111111
login=libo&password=11111111
login=liqing&password=111111
login=liyan&password=123456
login=lianfa&password=123456
login=lianqi&password=123456
login=liangding&password=123456
login=liangyou&password=123456
login=liaoji&password=123456
login=linyue&password=123456789
login=linghai&password=987654321
login=lingyi&password=123456
login=liuhong&password=123456789
login=liujia&password=111111
login=longming&password=123456
login=luzheng&password=123456
login=luojing&password=123456
login=luoyan&password=123456
login=matou&password=12345678
login=mayu&password=123456789
login=maidu&password=123456
login=maidou&password=123456
login=manzi&password=123456
login=meichen&password=123456
login=meichuan&password=123456
login=mengmeng&password=123456
login=mini&password=123456
login=miya&password=123456
login=mianbian&password=123456
login=miaolian&password=123456
login=minju&password=123456
login=minjian&password=123456
login=mingdao&password=111111
login=mingguan&password=123456
login=mingquan&password=123456
login=mingzhong&password=123456789
login=mudan&password=123456
login=mujia&password=123456
login=muxiang&password=123456
login=nala&password=123456
login=natie&password=123456789
login=nanhui&password=123456
login=nanhui&password=123456
login=niaoli&password=123456
login=nike&password=123456
login=oupeng&password=123456
login=pashi&password=123456789
login=paopu&password=123456
login=panzi&password=123456
login=pika&password=123456
login=pingguo&password=123456
login=pujiang&password=123456
login=pusan&password=123456
login=putuo&password=123456
login=puji&password=123456
login=qibao&password=123456
login=qihuang&password=123456
login=qilu&password=123456
login=qianjia&password=123456
login=qingchun&password=123456
login=qingpu&password=123456
login=qupiao&password=123456
login=quanxi&password=123456
login=rujia&password=123456789
login=ruidu&password=000000
login=runshun&password=123456
login=saika&password=000000
login=sanwei&password=123456
login=sanwa&password=12345678
login=sanying&password=123456
login=sanyou&password=123456
login=shaxuan&password=123456
login=shayi&password=123456
login=shazhe&password=123456
login=shaya&password=123456
login=shaige&password=123456
login=shaili&password=123456
login=shaima&password=123456
login=shanliang&password=123456789
login=shangnan&password=123456
login=shangxiu&password=123456
login=shangyu&password=123456
login=shenkang&password=123456789
login=shenpeng&password=123456
login=shengjia&password=123456
login=shengshi&password=123456
login=shiguang&password=123456
login=shijue&password=12345678
login=shiquan&password=123456
login=shume&password=123456789
login=shufu&password=123456
login=shuixing&password=123456
login=siping&password=123456
login=sixian&password=123456
login=suwa&password=123456789
login=sunyan&password=123456789
login=taige&password=123456789
login=taifu&password=123456
login=tanchu&password=123456
login=tangqiao&password=123456
login=tangshan&password=12345678
login=tebu&password=123456
login=tianshuo&password=123456789
login=tiantian&password=123456
login=tuanke&password=123456
login=wanjia&password=123456
login=wanyu&password=123456
login=wanghui&password=987654321
login=wangxian&password=987654321
login=wangyuan&password=11111111
login=weifang&password=123456
login=weike&password=123456
login=weiyi&password=123456
login=weiyan&password=88888888
login=wenfeng&password=123456
login=wener&password=12345678
login=wuning&password=123456
login=wusong&password=123456
login=xilang&password=123456
login=xixi&password=123456
login=xixia&password=123456789
login=xiamen&password=123456789
login=xianzhi&password=123456789
login=xiaoji&password=123456
login=xinan&password=123456
login=xinde&password=123456789
login=xinwang&password=123456
login=xinyu&password=123123123
login=xinzhuang&password=123456
login=xingmei&password=123456
login=xueqin&password=000000
login=yashi&password=123456
login=yajie&password=123456
login=yangguang&password=123456
login=yanwang&password=123456
login=yangpeng&password=987654321
login=yifeng&password=123456
login=yijian&password=123456
login=yidong&password=123456789
login=yile&password=123456
login=yixiang&password=123456
login=yixin&password=123456
login=yiya&password=123456
login=yinjiao&password=123456
login=yonghua&password=123456
login=yongtai&password=123456
login=yongye&password=123456
login=youguo&password=123456789
login=youken&password=123456
login=youyi&password=123456
login=yuandi&password=123456789
login=yuanshen&password=123456
login=yuanzi&password=12345678
login=yuanwang&password=12345678
login=yuanzheng&password=123456
login=yueyu&password=123456
login=yunduan&password=123456789
login=yunliu&password=123456
login=zhabei&password=123456
login=zhanpeng&password=123456789
login=zhangjing&password=111111
login=zhangjin&password=11111111
login=zhangyang&password=123456
login=zhangyu&password=11111111
login=zhaoqi&password=111111
login=zhengyi&password=123456
login=zhongshan&password=123456
login=zhongyuan&password=123456
login=zhulin&password=123456
login=zipai&password=123456
login=zishang&password=123456

修复方案:

可参考详细说明

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-06-23 22:00

厂商回复:

感谢您的关注,漏洞已修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-21 17:01 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    前排支持李姐姐!!

  2. 2014-06-21 17:13 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @梧桐雨 哈哈哈,谢谢梧桐妹妹。

  3. 2014-06-21 17:21 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    支持李姐姐。。。

  4. 2014-06-21 17:48 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    姐姐好,来张照

  5. 2014-06-21 21:46 | _Thorns ( 普通白帽子 | Rank:882 漏洞数:157 | 收wb 1:5 无限量收 [平台担保]))

    前排支持李姐姐!!

  6. 2014-06-21 23:27 | 红领巾 ( 路人 | Rank:22 漏洞数:4 | 有些漏洞,如果只是从技术层面来说明问题,...)

    支持李姐姐

  7. 2014-06-22 00:50 | Kevini ( 路人 | Rank:0 漏洞数:2 | =w=)

    前排支持李姐姐!!

  8. 2014-07-14 11:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    72个HTTP代理是哪里搞来的啊

  9. 2014-07-15 10:05 | lijiejie 认证白帽子 ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

    @wefgod 莫非是肉鸡。。。 我是在一个网站上抓的免费代理,写脚本再验证一下就能用了。 稍后会把那脚本发出来,其实很简单,就几行。。。

  10. 2014-07-15 16:08 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @lijiejie 这样啊,给力哦

  11. 2014-07-29 13:43 | m_vptr ( 普通白帽子 | Rank:133 漏洞数:30 | 新手)

    72个HTTP代理 !

  12. 2014-07-29 13:48 | m_vptr ( 普通白帽子 | Rank:133 漏洞数:30 | 新手)

    @wefgod 花刺代理验证 也可以用来验证代理是否好使。