当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010851

漏洞标题:乌云官方验证码过于简单,可以穷举在线字典猜解用户密码、刷屏等

相关厂商:乌云官方

漏洞作者: seclab_zju

提交时间:2012-08-13 13:46

修复时间:2012-08-18 13:47

公开时间:2012-08-18 13:47

漏洞类型:恶意信息传播

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-13: 细节已通知厂商并且等待厂商处理中
2012-08-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

乌云现在使用的验证码太过简单了,具体表现在:
1.字符颜色单一,只有纯白和纯黑两个颜色,可以直接通过Grayscale==0 or Grayscale==255对其进行二值化。
2.字符没有经过任何处理,例如放大,加粗,斜体,扭曲,可以直接match到一个特征字符串上,如字符“2”对应的特征串是:
00111100
01100110
11000011
00000011
00000110
00001100
00011000
00110000
01100000
11111111
以这个特征串可以99%正确的识别到这个字符。
3.(存疑)测试中发现如果在极短的时间内加载两个验证码,会出现相同结果。可能是伪随机码生成完全由时间控制。此处不确定。

详细说明:

处于验证码保护状态下的服务将失去保护。其中具有较高价值的是登录页面,可以用密码词典暴力破解。用户名随便google一下就可以搜到很多 “site:wooyun.org gmail.com”,这里也提醒下大家不要随便在网上公布自己的重要邮件。
下面是一个截图,在线猜解密码。顺便表扬一下wooyun,当同一IP短时间发出多次请求时会封禁一小段时间,但是只要自动切换代理就可以轻松绕过(goagent,tor,你们懂的)。这里仅是一个proof of concept,并没有实际攻击任何人的帐号,大家放心。

漏洞证明:

仅使用简单的灰度二值化+特征码识别,正确率可达99%以上:

修复方案:

建议使用更复杂的验证码,最好要带字符扭曲、粘连的。

版权声明:转载请注明来源 seclab_zju@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-08-18 13:47

厂商回复:

漏洞Rank:6 (WooYun评价)

最新状态:

暂无