当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-017799

漏洞标题:乐淘网任意用户密码重置漏洞

相关厂商:乐淘网

漏洞作者: 小胖子

提交时间:2013-01-24 14:03

修复时间:2013-03-10 14:04

公开时间:2013-03-10 14:04

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-24: 细节已通知厂商并且等待厂商处理中
2013-01-28: 厂商已经确认,细节仅向厂商公开
2013-02-07: 细节向核心白帽子及相关领域专家公开
2013-02-17: 细节向普通白帽子公开
2013-02-27: 细节向实习白帽子公开
2013-03-10: 细节向公众公开

简要描述:

有session也不能阻止爆破的节奏。

详细说明:

问题关键点:主站登录处没有次数限制,而且有session限制每个session只能提交10次,后面就失效,貌似是这样滴,所以对于爆破限制很大,溯雪也不能提交表单,只好祭出brup,用户用手机重置密码,这次不是验证码了,直接给密码,4位随机数,让用户登录后修改。这个就给了充足的时间。
没仔细研究代码,等下去看看逻辑,不多说,看图。
1:主站登录,抓包,看到这样的东西,虽然经过编码,brup还是认出来了。

1.jpg


我尝试在主登录界面来爆破,最终发现提示,没个session只有10次机会,只好作罢。
我重置密码得到的是5xxx

fanhuicuowu10.jpg


此时用溯雪,也不行,不能抓取到表单,尼玛这根本就不是表单。
屌丝难道就此放弃?ON!
找到另一个登录口,wap!

wapdenglu.jpg


这里一看就觉得有问题,密码直接说text-type,然后代理brup抓包。

burp数据.jpg


.jpg


设置好标记,以前剑心说我不严谨,我这里测试了三次,第一次,用10个密码跑,也就是5X00到5X10 结果跑出来了,但是这不够,万一还是限制10次呢,第二次,一百个密码跑,也跑出来了,现在为了更准确,也尽量节约时间,我设置1000个密码。

fanwei.jpg


然后提交完了之后看到。

chenggong.jpg


看来确实是没限制了,这下就可以拿基友的帐号测试了。

漏洞证明:

chenggong.jpg


修复方案:

密码找回逻辑有点小问题,太短,第二,主站登录最好还是加上验证码,因为哪怕每次10个,还是用不了多久,也能突破,第三,wap登录做好限制。过年了,求礼物,瓦咔咔

版权声明:转载请注明来源 小胖子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-01-28 16:56

厂商回复:

确认存在对密码错误重试未进行频率封禁,且临时密码过于简单。已经解决问题。

最新状态:

暂无