尚品网任意邮箱绑定漏洞(两种不同方法)

漏洞概要

缺陷编号:WooYun-2013-020130

漏洞标题:尚品网任意邮箱绑定漏洞(两种不同方法)

相关厂商:尚品网

漏洞作者:xfkxfk

提交时间:2013-03-16 10:16

公开时间:2013-04-30 10:17

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-03-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

1、尚品网ShangPin.com_领先的高端时尚和奢侈品购物网站。
2、且看我如何用两种不同方法实现尚品网任意邮箱绑定。

详细说明:

1、首先注册帐号,然后进行邮箱绑定。输入你的邮箱后,验证码会发到你的邮箱。这里的验证码是6位数的随机数,我发了很多次,发现有个规律:第一位一直都是7,所以这里实际上就只有5位了。

2、然后随便输入6位验证码,然后抓包:

3、抓包:

4、这里正确的验证码是771224,我们跑上1000多个试一试,能不能爬出来:

5、很快就出结果了,从返回内容长度可以判断,还可以从返回的内容可以判断正确的验证码771224:

6、现在我们看看,账户的邮箱就被我们绑定成了任意的邮箱地址了:

1、我们先使用我们自己的注册邮箱,进行绑定,输入正确的验证码后截包:

2、截断数据包,然后更改我们自己的邮箱,替换任意你想绑定的邮箱就ok:

3、从返回信息中我们能看到成功绑定了邮箱。所以,我猜想这里的逻辑是:当验证码正确时就讲post_data的值当作要绑定的邮箱。而没有帮发送到的目标邮箱当成要绑定的邮箱。4、现在看看我们成功绑定了任意邮箱:

漏洞证明:

修复方案:

1、验证码不管你弄几位的,每次数限制,一切都是浮云。。。2、不应该把post_data的数据直接当成要绑定的邮箱。3、求礼物。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:9 (WooYun评价)

评价