住哪网xss后登录别人账号把账号变自己的

漏洞概要

缺陷编号:WooYun-2013-020910

漏洞标题:住哪网xss后登录别人账号把账号变自己的

相关厂商:住哪网

漏洞作者:小胖胖要减肥

提交时间:2013-03-29 17:48

公开时间:2013-04-03 17:49

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2013-03-29: 细节已通知厂商并且等待厂商处理中
2013-03-29: 厂商已查看当前漏洞内容,细节仅向厂商公开
2013-04-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

住哪网存储型xss后登录别人账号把账号变自己的
以后不是单单登录账号,直接变成自己的,看你怎么办

详细说明:

xss直接截图吧,不想变成xss云

看代码

漏洞证明:

之前提过没有httponly,且cookies里还明文保存用户名,简单md5存储密码那么登录之后,如果有可利用的比如钱或信息就把账号变自己的吧,还能提现呢怎么把账号变自己的呢,因为更改手机号的时候没有对原注册的手机校验,只要输入新手机号就可以,改了之后登录和找回密码的手机就都变了,即使不知道密码那就直接找回吧这个是不是跟重置密码不需要原密码的逻辑一样,这个算问题么看图吧

更换手机找回密码后登录

还有一点一旦脱裤被登陆,用户账号就能随意利用,还无法找回了

修复方案:

1 输出过滤2 更改绑定手机需要原手机验证

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-04-03 17:49

厂商回复:

漏洞Rank:3 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 VIP 白帽子 | Rank:744 漏洞数:85)

    mark

  2. 2010-01-01 00:00 雅柏菲卡 白帽子 | Rank:661 漏洞数:63)

    火钳留名

  3. 2010-01-01 00:00 小胖胖要减肥 白帽子 | Rank:492 漏洞数:66)

    @住哪网 要被忽略了