漏洞概要
关注数(24)
关注此漏洞
漏洞标题:雪球网某接口绕过加密密码撞库(大量账号证明,可查股票交易记录等隐私)
相关厂商:雪球
提交时间:2015-05-08 17:10
修复时间:2015-06-22 21:40
公开时间:2015-06-22 21:40
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-05-08: 细节已通知厂商并且等待厂商处理中
2015-05-08: 厂商已经确认,细节仅向厂商公开
2015-05-18: 细节向核心白帽子及相关领域专家公开
2015-05-28: 细节向普通白帽子公开
2015-06-07: 细节向实习白帽子公开
2015-06-22: 细节向公众公开
简要描述:
挖洞最苦逼的事莫过于编辑了半天的漏洞最后发现竟然不存在。。
详细说明:
http://xueqiu.com/login雪球的这个登陆接口是没有任何登陆验证限制的
然后直接抓包,看到用户名是明文传输,但是密码是密文的,之前也遇到过密文的密码,都是小写的md5加密或者其他的解密不出来,但是这个加密乍然一看好复杂,仔细一看才发现是大写md5加密
既然知道了加密的方式,就试试可不可以撞库吧,但是由于之前没遇到过大写md5加密的密码,所以手上没有字典啊,郁闷临时写了个脚本生成了字典以后开始撞库,看到了出来了一部分用户就停止了
随便选几个登陆看看,大部分都是活跃用户,因为这个股票网站,又大部分都是活跃用户,所以用户隐私全部泄露了,什么聊天记录,持仓,交易记录,还有用户的股票组合(这个很重要,如果我暴力破解比较股票大神的用户然后查看他的股票怎么买,我也可以发家致富奔小康了~)
声明:因为涉及股票等敏感数据,所以没有进行大规模撞库,登陆测试的用户也没有修改任何信息
漏洞证明:
rs,部分账号证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-05-08 21:38
厂商回复:
确认是有问题,请教修复方案,谢谢
最新状态:
2015-05-15:已经加入了频率限制和对用户密码修改的提醒
2015-05-15:已经加入了频率限制和对用户密码修改的提醒
漏洞评价:
评论