当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016392

漏洞标题:有问必答网用户信息泄露及密码修改问题

相关厂商:北京图胜网络技术有限公司

漏洞作者: 纷纭

提交时间:2012-12-26 18:07

修复时间:2013-02-09 18:07

公开时间:2013-02-09 18:07

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-12-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-02-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网站设计的问题,造成用户的基础信息泄露,进而造成密码可以被重置。

详细说明:

1.用户名可以简单的获取到,基本无加密,没有任何隐藏,任何人的包括注册医生等。
2.取回密码处,可以简单的获取到注册的手机。基本上2分钟搞定一个人的注册绑定手机。
3.通过注册绑定手机,获取到6位验证码,基本上人品好,机器好,很快可以跑出来的。不用解释了。
4.具体看下面的验证吧。

漏洞证明:

1.获取用户名,很简单,方法多多,这个有问必答网提供的有,当然目标价值高的是医生之类或者收费会员。比如:http://doc.120ask.com/,你可以挑选个漂亮的咨询医生下手了,比如心理咨询师某人。
2.简单的就可以获取到用户名,如:http://www.120ask.com/user/usercard/?action=userinfo&username=maoerduo860517,典型的用户名已经出来了。在提问页面同样可以,这个用户名基本完全公开的。
3.不知道用户名也没关系,知道别名就行,就是类似医生真实姓名这样的东东,照样可以去取回密码。这个设计真人性啊。不过最简单的是用户名基本都是公开的,任何一个页面只要存在用户信息的页面链接中username字段都是用户名,很好找。
4.取回密码页面,http://a.120ask.com/forget_pwd?go=1,输入你得到的用户名,甚至是别名就可以下一步了。取回方式N种,还是老办法,用手机取回吧。
5.可以看到的是用户的手机号就这么简单的出来了,虽然有4位是加密的,你知道的4位而已。所以不一定说要重置密码,你想知道某个医生的个人手机,或者某个用户的个人手机,其实很简单的。怎么得到完整的手机号?这个比较简单的。

A1111.jpg


6.拿出Burp suite截包,然后intruder就行了,9999个组合,5个线程我这破机器也就几分钟搞定。

A2222.jpg


好了,可以跟这个心理医生谈谈心了。虽然咱没啥问题。
7.有手机号后,取回密码,验证码是6位数字的,正确后就可以修改密码了。俺的机器太差劲,跑20个线程都卡,乌云上那么多的牛人50个线程啥的,你们跑吧,挂了一会还没结果,停掉了,继续干活吧。

123456.jpg


4567.jpg


8.有问必答的老客户了,可惜近期效果也不好啊,客服也不给加资源,郁闷。

修复方案:

1.修复方案,专业人士多了,你们的据说年薪十几万的。应该很好搞。
2.有礼物送吧,至少送个笔记本(写字的那种,另一种意思就不奢望了。)。现在做广告老客户都不给送礼物了?

版权声明:转载请注明来源 纷纭@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝