漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0210191
漏洞标题:艺龙某分销系统逻辑错误导致可重置任意账户密码(可批量/涉及银行卡号等信息)
相关厂商:艺龙旅行网
漏洞作者: Angoddess
提交时间:2016-05-18 18:33
修复时间:2016-07-02 21:10
公开时间:2016-07-02 21:10
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-05-18: 细节已通知厂商并且等待厂商处理中
2016-05-18: 厂商已经确认,细节仅向厂商公开
2016-05-28: 细节向核心白帽子及相关领域专家公开
2016-06-07: 细节向普通白帽子公开
2016-06-17: 细节向实习白帽子公开
2016-07-02: 细节向公众公开
简要描述:
之前做测试的账号明明是存在的,且重置了密码,然而不知道为什么就是登不进去,然后被审核大大刷下来了。。。为了证明洞洞真的存在,这回申请了个测试账号做各种验证,后来又找了个存在账号做测试,嗯,这回perfect了。
详细说明:
http://union.elong.com/zh-CN/Account/Forgetpass 直接忘记密码,填写自己的手机号(压根没注册的号)
抓包下一步可以发现,这里他把验证码跟手机号做两部验证了,先发送验证码的数据包
之后是手机号验证
酱紫那我们不就可以绕过验证码爆破存在手机号了?直接把这个数据包扔去爆破,然后我们回到拦截的这个数据包,修改反馈数据包信息为true
直接跳转到下一步了,此时手机会受到验证码,输入然后下一步
终于来到重置页面了
这里拦截数据包会发现,他是号码跟新密码一起发送的,如果号码不存在则失败,我们把号码改成任一存在的就可以了
到这里,宝宝开心啦,可以进系统啦,可是回头看了登录界面就懵逼了,妈妈咪的,不能手机号登录,宝宝心里苦,但宝宝不说...... 再查一遍,登录可以邮箱,重新再看密码找回,哟西,有个邮箱找回密码的,可以试试 邮箱找回密码的思路跟手机一模一样,这里就不重复了,然后就用重置的邮箱账号登陆系统! PS:手机号重置密码虽然没办法进入系统,不过可以恶意批量修改啊!也是有相当危害的! 此次重置的有手机号13888888888(具体对应哪个邮箱账号不清楚),密码123456,邮箱duanyukun101@163.com,密码wooyun123(可能账号没激活还是什么的,进不去)。
自己申请了个测试账号angoddess@foxmail.com/wooyun123,做了各种测试,洞洞真的存在的啊啊啊啊,这里就不重复放过程了
申请账号的地址是:http://union.elong.com/zh-CN/register(谷歌出来的。。。)
漏洞证明:
这个是我的测试账号!
这个是重新找的账号,利用上面的方法重置成功进去了,账号密码zlsgtc@126.com/wooyun123
手机跟邮箱找回存在一样的问题,虽然手机号没办法登录,但可以批量重置啊,望重视!
求审核大大明鉴!
修复方案:
1、首先是忘记密码时验证码跟账号不要分开验证,且验证码不可重复利用
2、验证了账户存在之后,要确保接下来的步骤都是跟这个账户相关的,且发送验证码也要发往这个账户,避免被截取篡改,利用cookie之类的做身份验证吧
版权声明:转载请注明来源 Angoddess@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2016-05-18 21:00
厂商回复:
尽管这个漏洞昨天补天已经报过,我们已经做了修复,但安全漏洞是不分平台的,仍然感谢对艺龙安全的帮助。
最新状态:
暂无