中国国旅修改任意用户密码/秒改

漏洞概要

缺陷编号:WooYun-2015-0120767

漏洞标题:中国国旅修改任意用户密码/秒改

相关厂商:中国国旅

漏洞作者:路人甲

提交时间:2015-06-16 09:15

公开时间:2015-06-16 18:01

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-16: 厂商已经确认,细节仅向厂商公开
2015-06-16: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

第一次提交几天没有审核,最后给个未通过,好无语还以为是重复提交呢,结果原因是过程不详细,感觉挺详细的啊,那就再来一遍吧,看在写两次的份上给高分rank吧(过程很详细)!!!

详细说明:

先用一个用户走一遍正确的流程,提取正确响应码。

到了修改密码的页面,code里的可以看到没有token,因此任意用户修改为正确的响应码就能修改任意用户密码。

漏洞证明:

用另一用户测试修改密码。

输入的验证码肯定是错误(除非走了狗屎运),把false修改成true。

放行后会看到返回的响应包系统异常,把code里正确的响应包替换掉放行,就能修改密码。

最后一步登录验证!

修复方案:

添加token验证,完善服务端验证,看在两天次的份上给高rank吧,深夜挖洞不易啊。

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-1613:48

厂商回复:

非常感谢您的报告,问题已处理,十分感谢您对中国国旅的支持。

最新状态:

2015-06-16:已修复

评价

  1. 2010-01-01 00:00 这只猪 白帽子 | Rank:16 漏洞数:1)

    求问下,改false 为TURE后怎么回调?

  2. 2010-01-01 00:00 zhxs 白帽子 | Rank:25 漏洞数:2)

    求问下,改false 为TURE后怎么回调?

  3. 2010-01-01 00:00 Observer 白帽子 | Rank:23 漏洞数:2)

    @这只猪 @zhxs action里的do intercept --> response this request

  4. 2010-01-01 00:00 Ztz 白帽子 | Rank:53 漏洞数:5)

    @zhxs @这只猪 intercept规则里面设置reponse body cotains "false",改成true后forward

  5. 2010-01-01 00:00 zhxs 白帽子 | Rank:25 漏洞数:2)

    @Ztz 亲 亲吻为何我么有找到、的地方、找遍了都么有

  6. 2010-01-01 00:00 qhwlpg 白帽子 | Rank:141 漏洞数:13)

    思路不错,学习了,之前真没想到。。

  7. 2010-01-01 00:00 Ztz 白帽子 | Rank:53 漏洞数:5)

    @zhxs 一级标签Proxy -> 二级标签Options -> 找到Intercept Server Responses -> 勾上Intercept responses based on the following rules 和 automatically updates Content-length haerder,并取消选择所有复选框,单击左边add -> 逻辑选And,拦截条件选Body,匹配条件选Matches,关键词填false

  8. 2010-01-01 00:00 这只猪 白帽子 | Rank:16 漏洞数:1)

    @Ztz 谢谢,涨姿势了!

  9. 2010-01-01 00:00 进击的zjx 白帽子 | Rank:259 漏洞数:20)

    diao

  10. 2010-01-01 00:00 zhxs 白帽子 | Rank:25 漏洞数:2)

    @Ztz 灰常感谢

  11. 2010-01-01 00:00 flyfish 白帽子 | Rank:10 漏洞数:1)

    @Ztz 谢谢。

  12. 2010-01-01 00:00 Seven.Sea 白帽子 | Rank:44 漏洞数:5)

    学习了

  13. 2010-01-01 00:00 Coeus 白帽子 | Rank:0 漏洞数:0)

    @Ztz 灰常感谢现场教学~