乐淘网任意用户密码重置漏洞

漏洞概要

缺陷编号:WooYun-2013-017799

漏洞标题:乐淘网任意用户密码重置漏洞

相关厂商:乐淘网

漏洞作者:小胖子

提交时间:2013-01-24 14:03

公开时间:2013-03-10 14:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2013-01-24: 细节已通知厂商并且等待厂商处理中
2013-01-28: 厂商已经确认,细节仅向厂商公开
2013-02-07: 细节向核心白帽子及相关领域专家公开
2013-02-17: 细节向普通白帽子公开
2013-02-27: 细节向实习白帽子公开
2013-03-10: 细节向公众公开

简要描述:

有session也不能阻止爆破的节奏。

详细说明:

问题关键点:主站登录处没有次数限制,而且有session限制每个session只能提交10次,后面就失效,貌似是这样滴,所以对于爆破限制很大,溯雪也不能提交表单,只好祭出brup,用户用手机重置密码,这次不是验证码了,直接给密码,4位随机数,让用户登录后修改。这个就给了充足的时间。没仔细研究代码,等下去看看逻辑,不多说,看图。1:主站登录,抓包,看到这样的东西,虽然经过编码,brup还是认出来了。

我尝试在主登录界面来爆破,最终发现提示,没个session只有10次机会,只好作罢。我重置密码得到的是5xxx

此时用溯雪,也不行,不能抓取到表单,尼玛这根本就不是表单。屌丝难道就此放弃?ON!找到另一个登录口,wap!

这里一看就觉得有问题,密码直接说text-type,然后代理brup抓包。

设置好标记,以前剑心说我不严谨,我这里测试了三次,第一次,用10个密码跑,也就是5X00到5X10 结果跑出来了,但是这不够,万一还是限制10次呢,第二次,一百个密码跑,也跑出来了,现在为了更准确,也尽量节约时间,我设置1000个密码。

然后提交完了之后看到。

看来确实是没限制了,这下就可以拿基友的帐号测试了。

漏洞证明:

修复方案:

密码找回逻辑有点小问题,太短,第二,主站登录最好还是加上验证码,因为哪怕每次10个,还是用不了多久,也能突破,第三,wap登录做好限制。过年了,求礼物,瓦咔咔

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-01-28 16:56

厂商回复:

确认存在对密码错误重试未进行频率封禁,且临时密码过于简单。已经解决问题。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    爆破验证码神马的 最近很火

  2. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    @围剿 不是验证码,直接搞密码哦亲~

  3. 2010-01-01 00:00 灬相随灬 白帽子 | Rank:337 漏洞数:44)

    好厉害的感觉

  4. 2010-01-01 00:00 z7y 白帽子 | Rank:53 漏洞数:8)

    - -似乎真的好厉害。。。