当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115492

漏洞标题:拉手网商家后台设计不当可探测大量弱口令账号(影响商家结账与提现敏感信息)

相关厂商:拉手网

漏洞作者: px1624

提交时间:2015-05-22 11:22

修复时间:2015-07-06 12:00

公开时间:2015-07-06 12:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-22: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

拉手网是全球首家Groupon与Foursquare(团购+签到)相结合的团购网站。于2010年3月18日成立,中国内地最大的团购网站之一,开通服务城市超过400座,2010年交易额接近10亿元。

详细说明:

1 拉手网-商家后台:http://nsp.lashou.com/Home/Login/index

1.png


2 看起来没啥问题,还有页面验证码。随便填个帐号密码,抓个包试试。
3 可以看到会有2个请求数据包,第一个是单一的验证验证码的正确性。

2.png


4 第二个是验证用户和用户名的正确性,其中用户名进行了base64加密,密码进行了md5加密。

3.png


5 这里的设计是,首先验证验证码,如果验证码正确,那么就进行用户名和密码的验证,如果不正确就不执行。
看起来貌似没啥问题,但是其实只要直接去对第二个帐号和密码的验证进行请求的话,就可以绕过页面验证码验证这步。
所以就可以自动化爆破了。

漏洞证明:

6 随便找了点常见用户名,密码固定123456,分分钟爆破出来了40多个弱口令。
下面用户名的密码均为123456

caiyue
caoxue
chengxin
chenjia
chenjiao
dingyou
donggang
dongjiang
dongxin
dongying
fengye
fengzhen
gaoyan
guoguo
guoliang
heyu
huangdi
huangwei
huangyan
lingang
linyi
shenlan
tianshun
tianyue
wangda
wangguo
wangjun
weihai
weiying
wushi
wuyuan
xiaoting
xiaoxin
xiaoxing
yangfei
yangquan
yuandong
yuling
yuxin
zhangyuan
zhaona
zhengtai


随便拿个帐号zhengtai 登录证明下危害。
7 结算记录和订单随便看。

4.png


8 还可以提现。

5.png


9 还可以删除和修改银行卡和店铺信息,这里就不再截图了。

修复方案:

把验证合并为一个请求,其中包括的参数有用户名、密码、页面验证码。
然后在服务器端验证,有限验证验证码,然后对帐号密码进行验证。
这样验证码的作用就发挥出来了,不然这个验证码的设计就是个摆设。。。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-05-22 11:59

厂商回复:

多谢您的报告,研发已经知晓,正在努力改正.也希望您持续关注,万谢.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-22 12:37 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    庞总专刷弱口令

  2. 2015-05-22 13:03 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    似曾相识

  3. 2015-07-06 14:58 | 铁血 ( 路人 | Rank:14 漏洞数:5 | 非专业的爱好者,纯粹爱好。)

    有想法。。。。。