淘宝网安全机制存在逻辑错误

漏洞概要

缺陷编号:WooYun-2013-020008

漏洞标题:淘宝网安全机制存在逻辑错误

相关厂商:淘宝网

漏洞作者:梧桐雨

提交时间:2013-03-13 15:39

公开时间:2013-03-13 15:51

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2013-03-13: 细节已通知厂商并且等待厂商处理中
2013-03-13: 厂商已查看当前漏洞内容,细节仅向厂商公开
2013-03-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘宝网安全设置存在逻辑错误。导致存在某些问题。

详细说明:

问题出现在淘宝网的我的淘宝帐号设置那里。

今天意外发现,解绑帐号邮箱,手机,都不需要原来的手机邮箱认证。只需要你填入新手机号码、新邮箱号码,即可完成重新绑定。那么,这样会有什么危害呢?如果在你的帐号密码被人知道的情况下,他可以通过解绑你的帐号相关联的手机、邮箱,从而获取你的帐号控制所有权,记住,这里是所有权。不是仅仅帐号控制权,也就意味着可以控制你的支付宝账户了。

漏洞证明:

过程如下图:

发了这么多,不知道淘宝的同学是否清楚,这样我的帐号不知不觉,就被人更换了邮箱了。不觉得这样的设计存在很大的问题么?

修复方案:

修复方案:目前针对邮箱也好、或者是手机号码也好,你至少要给原本的帐号、手机、邮箱发一个信息去验证一下啊?别人不知情的情况下绑定的东西就被篡改了,安全在哪里啊?同样的情况我在腾讯QQ复测了、以及其他大公司都复测了,都是需要重新认证的。淘宝的同学,看着办吧!

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-13 15:51

厂商回复:

淘宝网在关键动作处是会有二次验证,如果验证通过默认就不需要其他验证手段,这都是静默的,你可以换台机器登陆再试试这套流程

最新状态:

暂无

评价