当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142812

漏洞标题:顺丰某系统找回密码设计缺陷

相关厂商:顺丰速运

漏洞作者: px1624

提交时间:2015-09-22 17:10

修复时间:2015-09-22 18:11

公开时间:2015-09-22 18:11

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-22: 细节已通知厂商并且等待厂商处理中
2015-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

XXOO

详细说明:

可以批量重置大量用户密码
http://ses.sf-express.com/RecoveryPassword.aspx

ddddddddddd.jpg


这里的重置密码的逻辑有问题,验证只需要填入邮箱,然后就会发一个新密码给用户了,这样就简简单单的把用户的密码给重置了。

ssssssssssxxxx.png

漏洞证明:

看到上面的描述,你们可能会不以为然。
可能会觉得这没啥问题啊,重置了也是发到用户的邮箱,你又不知道。
但是其实这个漏洞的影响并不是这个点,而是可以用已知的用户邮箱字典,然后用burp去直接跑一遍,那么分分钟就可以重置修改掉大量用户的密码了!
这影响你们自己评估吧!!!

修复方案:

修改逻辑。

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-22 18:11

厂商回复:

首先肯定洞主的白帽精神及对顺丰安全的关注。
针对该问题这里做下解释:
1.如洞主所说密码找回功能需要提前知道用户注册时的邮箱
2.当用户找回密码时,系统会随机生成一个密码(长度14位,包含大小写字母,数字,特殊字符)发到用户注册的邮箱里
3.用户注册/修改密码最低策略为:长度8位,大、小写字母,数字,特殊字符其中三类
攻击者通过密码找回功能确定的用户邮箱,来破解用户密码这方案并不明智。
综上所诉,本漏洞利用条件比较苛刻,给予忽略,谢谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-22 17:22 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    又一个小厂商。。。

  2. 2015-09-22 17:59 | wps2015 ( 普通白帽子 | Rank:426 漏洞数:60 | 不叫一日荒废)

    @px1624 p牛还在意这个?

  3. 2015-09-22 20:49 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @顺丰速运 请问黑客干嘛要去知道用户的密码?黑客直接收集一批帐号,然后直接批量将其密码全部给改掉,然后用户是不是就会在不知情的状态下被修改了密码?请问这利用条件有啥苛刻的?

  4. 2015-09-23 11:21 | 顺丰速运(乌云厂商)

    @px1624 我们不是讨论找回密码设计缺陷安全问题吗?

  5. 2015-09-23 12:14 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @顺丰速运 是啊,我的漏洞说的是找回密码这个功能的设计缺陷。又没说是可以把密码改成自己自定义的。这个漏洞的风险就是可以瞬间把大量用户的密码都给改掉,那么用户会怎么办?肯定第一时间去找官方~~难道没影响?

  6. 2015-09-23 12:25 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    @px1624 我来解释一下一、:黑客利用已知的社工库批量找回密码,然后登陆这些邮箱更改密码。找回密码缺陷问题是指不验证用户身份就允许其进行密码找回。二、找回密码模块可以批量利用,可以改到大量以及账号的密码,影响用户使用。是这个意思不?

  7. 2015-09-23 17:42 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Me_Fortune 嗯,就是这个意思。就是说这个逻辑有问题,正常的逻辑是应该验证用户身份才允许新密码修改,这里的逻辑是只要输入邮箱就可以改了,完全没有验证。

  8. 2015-09-24 09:07 | 顺丰速运(乌云厂商)

    @Me_Fortune @px1624 了解,类似短信扰。只不过在线调查系统受影响范围是已注册的用户。对于参与调查的用户并不需要注册账号即可参与调查。

  9. 2015-09-24 12:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @顺丰速运 和短信骚扰有啥关系,唉,算了,不解释了。。。。解释的我累的~