当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020130

漏洞标题:尚品网任意邮箱绑定漏洞(两种不同方法)

相关厂商:尚品网

漏洞作者: xfkxfk

提交时间:2013-03-16 10:16

修复时间:2013-04-30 10:17

公开时间:2013-04-30 10:17

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

1、尚品网ShangPin.com_领先的高端时尚和奢侈品购物网站。
2、且看我如何用两种不同方法实现尚品网任意邮箱绑定。

详细说明:

=====第一种方法:经典的爆破法=====


1、首先注册帐号,然后进行邮箱绑定。输入你的邮箱后,验证码会发到你的邮箱。这里的验证码是6位数的随机数,我发了很多次,发现有个规律:第一位一直都是7,所以这里实际上就只有5位了。

.png


2、然后随便输入6位验证码,然后抓包:

.png


3、抓包:

.png


4、这里正确的验证码是771224,我们跑上1000多个试一试,能不能爬出来:

payload.png


5、很快就出结果了,从返回内容长度可以判断,还可以从返回的内容可以判断正确的验证码771224:

.png


6、现在我们看看,账户的邮箱就被我们绑定成了任意的邮箱地址了:

.png


2.png


=====第二种方法:截包改数据法=====


1、我们先使用我们自己的注册邮箱,进行绑定,输入正确的验证码后截包:

.png


2、截断数据包,然后更改我们自己的邮箱,替换任意你想绑定的邮箱就ok:

.png


3、从返回信息中我们能看到成功绑定了邮箱。所以,我猜想这里的逻辑是:当验证码正确时就讲post_data的值当作要绑定的邮箱。而没有帮发送到的目标邮箱当成要绑定的邮箱。
4、现在看看我们成功绑定了任意邮箱:

.png


2.png

漏洞证明:

修复方案:

1、验证码不管你弄几位的,每次数限制,一切都是浮云。。。
2、不应该把post_data的数据直接当成要绑定的邮箱。
3、求礼物。

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:9 (WooYun评价)