漏洞概要
关注数(24)
关注此漏洞
漏洞标题:阿里巴巴某登录接口设计不当撞裤没商量
提交时间:2015-01-24 17:23
修复时间:2015-03-10 17:24
公开时间:2015-03-10 17:24
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:5
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-24: 细节已通知厂商并且等待厂商处理中
2015-01-26: 厂商已经确认,细节仅向厂商公开
2015-02-05: 细节向核心白帽子及相关领域专家公开
2015-02-15: 细节向普通白帽子公开
2015-02-25: 细节向实习白帽子公开
2015-03-10: 细节向公众公开
简要描述:
针对拥有大量用户资源的厂商这种撞裤越有危害。
撞裤是一场需要用户参与的持久战,这种漏洞还是公开了比较好,让用户安全意识的重要性。
所以就没向ASRC提交 :-)
详细说明:
问题出在WindowsPhone移动端的支付宝钱包,登录没有限制(如验证码之类的)接着我们抓他的登录包
我们可以看到登录帐号是明文显示在包中的,而包我们可以随意更改,也就是说我们可以随意更改尝试登录的帐号,不过这里可以看到密码部分是加密过的,想要知道算法恐怕得去逆向程序了,但是我们目的是撞裤,可以保持密码部分不变来批量撞帐号,使用弱密码依然用猪猪侠发的弱密码TOP100中的top6
首先构造包
哎呀,把我设备的各种信息都泄漏了,不过无所谓.. 在这个互联网谁还会有隐私呢 ?
这里加密的密码部分明文应该是“woaini1314”那我们针对这个弱密码就可以批量撞帐号了,所以用户数量越大的厂商这类的撞裤命中率越高,弱密码可没办法防止,所以说撞裤漏洞是一场需要用户参与的持久战。
但是呢,大量的帐号哪里弄? 这很简单呀
在登录的时候,在帐号处填写的手机号如果没有绑定支付宝的话就会显示“该账户不存在”,如果一个帐号存在的话我们尝试登录就会显示“密码输入错误”然后用字典工具生成11位的数字组合,前3位是号段,所以只要生成后8位就可以了
那我们把上个测试迅雷撞裤的脚本稍微修改一下就能拿来用了
如果有跑出来成功的就会保存在good.txt,为了节省时间我并没有真的去测试大量帐号,只是测试了我自己的帐号是否能成功,我把自己的支付宝密码改为了woaini1314,然后添加到usernames.txt,
看看会不会被撞到,结果是成功撞到的。
所以呢,针对这个弱密码还是可以撞到一部分用户的 。。
漏洞证明:
其实阿里也是有措施防止撞裤的,每个帐号密码尝试次数为5次,如果错误五次就会锁定3小时
但是我这里撞裤是针对密码来撞的,如果密码不正确就直接过了,所以只会尝试一遍..也就巧妙绕过了这个防护措施
修复方案:
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2015-01-26 19:53
厂商回复:
属于已知漏洞,感谢您对阿里巴巴安全的关注!
最新状态:
暂无
漏洞评价:
评论
-
2015-01-24 17:51 |
MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)
-
2015-01-26 20:12 |
MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)
哈哈,我报ASRC那个和这个不是同一个接口,不过方法是一样的。但是那个却是忽略的,为什么在乌云就确认了 在ASRC就给忽略呢 .. 既然不认为是漏洞乌云也应该忽略呀 @xsser @疯狗
-
2015-01-26 21:15 |
zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)
-
2015-01-26 22:42 |
夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)
-
2015-01-26 22:45 |
MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)
@zeracker 漏洞是先提交的乌云,随后测试又发现一处(甚至密码明文)然后就报ASRC了 .. asrc那个审核的早 下午的时候就忽略了,晚上乌云这个给确认了,还说属于已知漏洞 ...其实这漏洞我就没打算会被确认 就想让用户知道弱密码危害有多大 这问题是厂商解决不了的