百度帐号邮箱验证绕过

漏洞概要

缺陷编号:WooYun-2012-06376

漏洞标题:百度帐号邮箱验证绕过

相关厂商:百度

漏洞作者:水滴

提交时间:2012-04-25 14:44

公开时间:2012-06-09 14:44

漏洞类型:未授权访问/权限绕过

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-04-25: 细节已通知厂商并且等待厂商处理中
2012-04-25: 厂商已经确认,细节仅向厂商公开
2012-05-05: 细节向核心白帽子及相关领域专家公开
2012-05-15: 细节向普通白帽子公开
2012-05-25: 细节向实习白帽子公开
2012-06-09: 细节向公众公开

简要描述:

百度帐号邮箱验证绕过

详细说明:

百度帐号邮箱验证绕过修改密码,换绑手机估计也一样绑定了邮箱后,更换邮箱需要发送验证码到原邮箱

漏洞证明:

A为要解绑的帐号,B为我的

param是B的邮箱地址加密后的东西

虽然不知怎么加密的,但是可以用A号把验证码发到我的邮箱里

得到了token,time

绑定一个新邮箱,再加上刚才的俩参数

整个过程没有登录A号的原邮箱

修复方案:

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2012-04-25 16:44

厂商回复:

感谢提交,邮件及短信部分均以验证,我们会尽快修复!!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    百度的仇家,又来啦!~.~

  2. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @疯子 近视型大疯狗,又来啦! ~.~

  3. 2010-01-01 00:00 d4rkwind 白帽子 | Rank:8 漏洞数:2)

    牛叉大了。赞

  4. 2010-01-01 00:00 Eoh 白帽子 | Rank:269 漏洞数:28)

    @水滴 搞垮百度,骚扰百度。 -_-!

  5. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    ...... 何必呢

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    MARK,顶

  7. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @水滴 尼玛,百度就是你仇家,没事就高别人~~~

  8. 2010-01-01 00:00 pfdz 白帽子 | Rank:99 漏洞数:13)

    @疯子 不能这么说吧,百度有问题也是问题啊。。还能区别对待?

  9. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @pfdz 这个就不一样了,自己看他公布的漏洞。十个里面9个百度,在乌云第一次看到这样的~.~ 百度哭了

  10. 2010-01-01 00:00 pfdz 白帽子 | Rank:99 漏洞数:13)

    @疯子 其实吧,我觉得人家找洞,你有问题,专注百度,我觉得也没有啥过不去,既然百度有问题,水滴能找到,就应该值得……水滴找,和别人找也都一样,起码水滴是“白帽子”,如果不暴露出来问题不还是存在嘛。。我个人感觉还是支持水滴的。

  11. 2010-01-01 00:00 pfdz 白帽子 | Rank:99 漏洞数:13)

    @pfdz 擦,这地方的"你有问题“是指百度。。

  12. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    百度的邮件老是被qq拦截

  13. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    - -其实不用这么麻烦

  14. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @水滴 有新进展?最好能像几年前,yahoo的算法给破解,那太NB了

  15. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @一刀终情 yahoo被破解是有原因的,百度不应该

  16. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @百度 还修不修了

  17. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @水滴 就给4分啊?

  18. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @一刀终情 。。。还没修

  19. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @水滴 额,今晚回家试试看~这个漏洞的关键是能把A的验证邮件发到B?这个感觉跟支付漏洞一样,[email protected]er 可以考虑精华

  20. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @一刀终情 其实没上面写的那么复杂,只要token跟time能对得上,所有帐号都能使用,而且无论验证码正确与否都会返回一个正确的token、time,。。{"errno":190009,"errmsg":"security param empty","token":"ec0aa7ed46f05c511729775ec5bad834","time":1339636090}

  21. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @一刀终情 发送邮件只要邮件那个参数填对了就能发送,邮件地址经过了简单加密,重点是token和time对所有帐号都是有效的,并非某一帐号在某一时间对应一个token,,,

  22. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @水滴 明白了,只验证了token time对应关系,没有验证token与邮箱账户的关系;而且错误居然也返回有效的……最佩服这种逻辑上的漏洞了~挖到了有成就感

  23. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @一刀终情 提交前,填错验证码看到返回的errno不是0就以为不能用,才弄出这么麻烦的方法。。。

  24. 2010-01-01 00:00 Vty 白帽子 | Rank:165 漏洞数:21)

    多少啊,高山流水呀,你是百度的知音啊

  25. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    @百度 才4分。。。

  26. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @水滴 我觉得至少14分~