当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085843

漏洞标题:聚美优品任意修改用户密码(非爆破)

相关厂商:聚美优品

漏洞作者: Rocky.Tian

提交时间:2014-12-04 14:21

修复时间:2014-12-04 16:17

公开时间:2014-12-04 16:17

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-04: 细节已通知厂商并且等待厂商处理中
2014-12-04: 厂商已经确认,细节仅向厂商公开
2014-12-04: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

可任意更改用户密码

详细说明:

漏洞证明:

通过自己账号忘记密码发送邮箱修改密码地址

1.jpg


1.jpg


进入邮箱 不要打开

1.jpg


在同浏览器内打开网站还是忘记密码输入要修改的账号

1.jpg


这一步后停住

1.jpg


在同一浏览器中打开发到我们邮箱的链接

1.jpg


一定同一浏览器输入要修改的密码就OK了

1.jpg


成功进入

1.jpg


修复方案:

版权声明:转载请注明来源 Rocky.Tian@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-12-04 14:28

厂商回复:

感谢您对聚美安全的关注

最新状态:

2014-12-04:已修复。这种漏洞应该给 rank 20的,属于高危,怎么改?

漏洞评价:

评论

  1. 2014-12-04 14:22 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    牛啊这思路

  2. 2014-12-04 14:23 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我喜欢这种思路

  3. 2014-12-04 14:25 | 鶆鶈 ( 普通白帽子 | Rank:306 漏洞数:30 )

    这思路真是大赞啊。。

  4. 2014-12-04 14:25 | Rocky.Tian ( 路人 | Rank:22 漏洞数:2 | 学不止境)

    找一个人 只有手机号 发现她在聚美优品有Cookie记录,也帮顶了QQ,所以只有这样拿下来,进去看看,其实我是要她QQ和地址!

  5. 2014-12-04 14:26 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    我喜欢这种思路

  6. 2014-12-04 14:28 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    我这败家媳妇买了这么多东西

  7. 2014-12-04 14:29 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    一大堆败家媳妇回家要跪遥控器

  8. 2014-12-04 14:29 | Rocky.Tian ( 路人 | Rank:22 漏洞数:2 | 学不止境)

    @浩天 这是我媳妇。。。。

  9. 2014-12-04 14:30 | Rocky.Tian ( 路人 | Rank:22 漏洞数:2 | 学不止境)

    @疯狗 我滴媳妇

  10. 2014-12-04 14:32 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    mark

  11. 2014-12-04 14:54 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    牛啊这思路(我看不到,但请允许我装个逼)

  12. 2014-12-04 15:15 | ′雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    牛逼, 这思路, 又学习了,

  13. 2014-12-04 15:20 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    坐等思路

  14. 2014-12-04 15:20 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @聚美优品 修复就公开了吧

  15. 2014-12-04 15:27 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:91 | 梦想还是要有的,万一实现了呢?)

    感觉系统邮箱被搞了

  16. 2014-12-04 15:29 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    这是什么思路,求细节。

  17. 2014-12-04 15:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @if、so 来个猜对有奖活动吧

  18. 2014-12-04 15:47 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    擦,咋感觉楼上都能看到详情,这不科学!

  19. 2014-12-04 15:57 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    这思路,太牛逼了,怎么想到的

  20. 2014-12-04 15:58 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    已复现,不知道思路对了没。

  21. 2014-12-04 15:59 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    又闪电

  22. 2014-12-04 16:15 | 聚美优品(乌云厂商)

    确实神思路,醉了

  23. 2014-12-04 16:27 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    牛逼,啥原理呢? session紊乱?

  24. 2014-12-04 16:33 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    能看到了,这思路,真是牛,什么原因

  25. 2014-12-04 16:34 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    醉了 好淫荡呀

  26. 2014-12-04 16:35 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    向要修改的的邮箱发一个修改密码的请求,那么这个账号就被标记为要修改密码的状态,这个是关键

  27. 2014-12-04 16:37 | bupter ( 路人 | Rank:0 漏洞数:1 | 曾经爱过!!)

    不讲思路只讲过程,感觉有点徐悲鸿画马的味道。

  28. 2014-12-04 16:37 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    奇淫妓巧 这思路 醉了

  29. 2014-12-04 16:42 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @浩天 其实就是越权吧,eid或者sid没有校验用户

  30. 2014-12-04 16:43 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    向要修改的的邮箱发一个修改密码的请求,那么这个账号就被标记为要修改密码的状态,这个是关键

  31. 2014-12-04 16:43 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    好神奇的

  32. 2014-12-04 16:44 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    应该是cookie的问题···被设置了一个类似toke的东西 略懂

  33. 2014-12-04 16:47 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @想要减肥的胖纸 必须为同一浏览器,目测可以共用这一token

  34. 2014-12-04 16:50 | Nebula ( 普通白帽子 | Rank:215 漏洞数:22 | xxxxx)

    应该是ssesion或cookie的覆盖(它被用作修改指定用户的密码,可能就是用户名),而服务器端只是简单判断了一下修改链接的key是否存在就可以修改密码了,而没有判断key是否对应指定用户名?

  35. 2014-12-04 16:51 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    @浩天 @Rocky.Tian 谁的媳妇cyj_829pconline13088929286cyj_829@163.com

  36. 2014-12-04 16:51 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    类似于验证码复用。。。。。

  37. 2014-12-04 16:56 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    应该是通过session验证,两个用户使用的是同一个session提交的,作者说要用同一个浏览器。

  38. 2014-12-04 17:02 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    应该34 楼说的那样吧,也是神逻辑

  39. 2014-12-04 17:10 | xinghe ( 路人 | Rank:2 漏洞数:4 )

    思路不错

  40. 2014-12-04 17:26 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    搞了半天,原来厂商这充值密码的链接里面就没有帐号相关的加密验证,厂商竟然还不知道怎么修。。。

  41. 2014-12-04 17:35 | 小鲜肉 ( 实习白帽子 | Rank:34 漏洞数:6 | 努力学习,不想在浪费时间了。)

    @xsser @浩天 没怎么看明白,上面是说可以修改任意用户的密码,他这思路第一步必须进入找回密码的邮箱,虽然不要点邮箱里面的修改密码的连接,但是邮箱帐号和密码不是本人的话,几乎没有机会获取到,不登录找回密码的邮箱,也会是这种结果?

  42. 2014-12-04 17:39 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @小鲜肉 先向自己邮箱发一封找回密码,再向媳妇的邮箱发一封,当前浏览器记录媳妇的账户信息,然后去自己的邮箱点击找回密码链接,读取了存在浏览器媳妇的账户信息,成功修改了密码。以前也遇到过类似的案例

  43. 2014-12-04 17:46 | 小鲜肉 ( 实习白帽子 | Rank:34 漏洞数:6 | 努力学习,不想在浪费时间了。)

    @浩天 刚才没有注意看,两个邮箱是不同的,你一解释就明白了,谢了雷锋。

  44. 2014-12-04 18:14 | 火焰真菌 ( 实习白帽子 | Rank:37 漏洞数:11 | 火焰真菌)

    牛逼

  45. 2014-12-04 18:26 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    神思路。

  46. 2014-12-04 18:41 | 带我玩 ( 路人 | Rank:12 漏洞数:6 | 带我玩)

    思路好银荡的说

  47. 2014-12-04 19:49 | Rocky.Tian ( 路人 | Rank:22 漏洞数:2 | 学不止境)

    我当时没有账号 所以提交的漏洞信息 现在有账号了 怎么样转到我的名下?我拿着俺对象的试验的我有一个人的手机号 想找到他的QQ 然后发现法的cookie 在聚美优品,所以想到了如此损招!太恐怖了

  48. 2014-12-04 20:03 | 小飞侠 ( 路人 | Rank:4 漏洞数:2 | 好好学习,天天向上)

    给思路赞一个~

  49. 2014-12-04 20:39 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    厂商修复好神速~

  50. 2014-12-04 20:55 | pain ( 路人 | Rank:12 漏洞数:5 )

    虽不明,但觉厉

  51. 2014-12-04 21:54 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    牛逼啊。

  52. 2014-12-04 22:09 | pain ( 路人 | Rank:12 漏洞数:5 )

    @Rocky.Tian 找乌云小秘书说一下就能转到你名下了

  53. 2014-12-04 22:32 | 银冥币 ( 实习白帽子 | Rank:35 漏洞数:21 | "/upload/avatar/avatar_251_b.jpg" />)

    共用session和验证不严格导致,思路叼

  54. 2014-12-04 22:48 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    应该是记录了修改提交的账号,可能是session问题

  55. 2014-12-04 23:35 | wkc_2014 ( 普通白帽子 | Rank:164 漏洞数:45 | 2014-)

    流弊

  56. 2014-12-05 10:01 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @聚美优品 后台是什么逻辑?让我等涨涨见识呗,反正已经修复了

  57. 2014-12-05 11:42 | redsin ( 路人 | Rank:16 漏洞数:6 )

    麻痹 这怎么想到的?

  58. 2014-12-05 14:51 | 乌云 ( 实习白帽子 | Rank:66 漏洞数:14 | a)

    我尼码。。。 这个竟然是利用session来对应账号的修改。。。醉了。。看样“session不可改” 这句话也得分情况了。。。

  59. 2014-12-05 15:05 | Woodee ( 路人 | 还没有发布任何漏洞 | 乌云路人甲,打脸pa pa pa)

    2014-12-04:已修复。这种漏洞应该给 rank 20的,属于高危,怎么改?

  60. 2014-12-06 19:12 | 斯杰 ( 路人 | Rank:10 漏洞数:5 | By:S丶jer)

    这是要火的节奏啊

  61. 2014-12-06 20:13 | 小呆呆 ( 实习白帽子 | Rank:41 漏洞数:7 | 每次有人骂我猪我都说我偶像也是猪)

    这都行!

  62. 2014-12-08 11:57 | 大大怪 ( 路人 | Rank:0 漏洞数:1 | PHP 爱好者)

    这种rank 最多打3分。从 url 中也能看出来 sid 就是 session_id 。 url 中还有个 | 而这种参数一般不会用程序去取,太麻烦还要分隔。最后面是 back 地址,很好分析。厂家这么相信session 这水平可想而知。

  63. 2014-12-08 18:26 | 小涛 ( 路人 | 还没有发布任何漏洞 | 跟随大大们的脚本来的)

    都是这么厉害啊 唉 我这种小菜 只能看 着你们在自由都翱翔

  64. 2014-12-12 14:20 | Mr.Wang ( 路人 | 还没有发布任何漏洞 | 黑与白的对立中,寻求突破。)

    思路叼到爆点。

  65. 2014-12-12 15:55 | milan ( 普通白帽子 | Rank:129 漏洞数:32 | 妈妈说:搬不完砖就别回家。)

    mark

  66. 2014-12-14 12:23 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    @浩天 @疯狗 @xsser 2014-12-04:已修复。这种漏洞应该给 rank 20的,属于高危,怎么改?

  67. 2014-12-23 15:26 | xFrank ( 路人 | Rank:10 漏洞数:1 | 专注Android系统安全)

    不明觉厉

  68. 2014-12-24 16:48 | Mixes ( 普通白帽子 | Rank:111 漏洞数:19 | :))

    @cnrstar 姓名: 陈奕君手机: 13008492905家庭电话: 0917-8668102性别: 女生日: 1985年08月29日地址: 西安翻译学院户口所在地: 陕西邮编: 710105是我媳妇

  69. 2015-01-05 13:35 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    好想法

  70. 2015-01-05 18:25 | cooFool ( 路人 | Rank:0 漏洞数:2 | 终于通过了。)

    极度猥琐!!

  71. 2015-01-15 20:54 | 李宇航的小柠檬 ( 路人 | Rank:5 漏洞数:1 | 小柠檬甜不甜)

    @浩天 聚美某汪已被开除

  72. 2015-02-04 10:31 | 深夜大冒险 ( 实习白帽子 | Rank:34 漏洞数:5 )

    吓得我不敢败家了

  73. 2015-05-16 13:54 | Lo0ston ( 路人 | 还没有发布任何漏洞 | 热爱渗透)

    貌似是利用cookies,思路真的不错

  74. 2015-07-15 21:02 | theone ( 路人 | Rank:23 漏洞数:3 | hodor,hodor)

    mark