当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089813

漏洞标题:21cake大量用户隐私泄露

相关厂商:21cake.com

漏洞作者: 一个狗

提交时间:2015-01-04 19:27

修复时间:2015-02-18 19:28

公开时间:2015-02-18 19:28

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-04: 细节已通知厂商并且等待厂商处理中
2015-01-05: 厂商已经确认,细节仅向厂商公开
2015-01-15: 细节向核心白帽子及相关领域专家公开
2015-01-25: 细节向普通白帽子公开
2015-02-04: 细节向实习白帽子公开
2015-02-18: 细节向公众公开

简要描述:

我 本来 只是想 买个 生日蛋糕。

详细说明:

首先,我忘了我的账号。。
于是尝试找回我的密码,这时候第一个安全问题出现了。。
坑爹的验证码还有4位啊,而且网站的网速还不错,提交错误不ban IP地址,也不需要验证码。。
于是小小的用一下burpsutie,我手机都没看就把验证码爆出来了。。
然后就可以改密码了,于是第一个问题点出现了,暴力猜解验证码就可以直接重置任意用户的密码,然后登录进去看看他的隐私。测试了一下速度大概90s左右能爆破出一个验证码。
当然了,这样的话一个用户要90s,大量用户隐私还是需要一段时间来搞定的。
于是更奇葩的事情出现了,我重置了一下自己的密码,顺便又看了一眼包。。
天惹噜,我的用户账号作为post参数一起提交了?!
赶紧找来一个机油让他注册了一个账号,初识密码是test123,
然后我重放刚刚那个数据包,把账号改成了他的账号,密码是gougougou,发送包,成功了?!
然后用他的账号(手机号)和我新改的密码gougougou登录,登录成功。。
至于用户隐私怎么泄露呢?
100行python以内,找一些北京上海等有21cake的城市的手机号list,或者干脆自己生成,改密码,登录,进个人信息,手机号,邮箱,详细住址全部扒拉出来,稍微有点难度的是那个验证码可能需要一点OCR,不过那个验证码好弱。。

漏洞证明:

QQ20150103-1@2x.jpg


这是暴力验证码的截图,暴力速度相当之快。

QQ20150103-2@2x.jpg


这是重置密码的数据包截图,任意用户账户忘记密码,然后输入验证码,然后抓包,把mobile子段改成别人的手机号,就能重置别人的密码了。

修复方案:

用户隐私无小事,业务逻辑问题这么大,不如找我司帮忙做个安全服务?

版权声明:转载请注明来源 一个狗@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-05 20:08

厂商回复:

非常感谢你,的确存在此问题,已修复

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-05 20:46 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    你们的蛋糕好贵好贵啊..... @21cake

  2. 2015-01-05 23:13 | 一个狗 ( 实习白帽子 | Rank:42 漏洞数:3 | ADoG)

    LS都1000+rank的土豪了随便买呀

  3. 2015-01-06 09:20 | 孤独男孩 ( 路人 | Rank:8 漏洞数:5 | 专注网络信息安全,漏洞发掘,代码审核,云...)

    这样买蛋糕是不是不用钱了?

  4. 2015-01-06 10:52 | 21cake(乌云厂商)

    呵,质量服务口味包您满意,,谢谢各位

  5. 2015-01-06 11:45 | 一个狗 ( 实习白帽子 | Rank:42 漏洞数:3 | ADoG)

    @21cake 那天买了两个,都很好吃~