当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043061

漏洞标题:糗事百科另类方式重置用户密码

相关厂商:糗事百科

漏洞作者: px1624

提交时间:2013-11-17 14:49

修复时间:2013-11-22 14:49

公开时间:2013-11-22 14:49

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-17: 细节已通知厂商并且等待厂商处理中
2013-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

安全问题都是息息相关的,有时候你认为的一些鸡助无用的小漏洞(甚至不愿意承认那是漏洞),但是在一定情况下组合利用起来,就有可能成为很严重的漏洞额!
这种另类的重置密码漏洞,估计有不少厂商都存在,希望厂商都能对安全这个整体引起重视吧。

详细说明:

糗事百科貌似一直对CSRF漏洞不太重视,这里我其实就是利用了邮箱绑定位置存在CSRF漏洞,在加上密码找回流程逻辑判断不严格,从而成功重置用户密码的。
顺便友情提供:邮箱绑定的时候,还存在邮箱轰炸漏洞。
测试过程,用两个帐号两个浏览器分别登录进行测试。
1 大号去修改绑定的邮箱,抓包。

1.png


2 可以看到,是一个post的请求。

2.png


3 去掉refer,再次发送请求,发现可以仍然成功执行请求,接收到绑定邮箱的邮件。

3.png


4 说明这里存在POST类型的CSRF漏洞。
5 然后CSRF利用这里就不在详细说明了,不管是直接发url还是用img、iframe的src嵌入,都可以。
6 外部poc构造的利用代码(将邮箱写为自己的邮箱)。

<html><body>
<form name="px" method="post" action="http://www.qiushibaike.com/my/edit">
<input type="text" name="_method"	value="put">
<input type="text" name="user[avatar]" value="">
<input type="text" name="user[email]" value="xxx@qq.com">
<input type="text" name="commit" value="提交">
</form>
<script>
document.px.submit();
</script>
</body></html>


下面切换为小号,模拟正常用户。
7 诱导用户中招CSRF后,会给自己的邮箱发送一封邮件,用于邮箱绑定。

4.png


8 点击确认修改按钮发现可以直接成功修改,未登录小号帐号状态下,就可以成功修改绑定邮箱。(这里逻辑验证有问题,应该首先判断用户是否为登录状态,如果不是登录状态则判断为修改失败)。

5.png


9 接下来就是用正常的密码找回流程去修改密码,填写好用户帐号和自己刚才修改好的自己的那个绑定邮箱。

6.png


10 点击找回密码,会给自己刚才修改的绑定邮箱发送一个找回链接。

7.png


11 然后去邮箱我们点击找回密码按钮。

7878.png



12 然后就会打开密码修改的页面了。

8.png


13 填写新密码,可以直接修改用户密码!

9.png


THAT'S ALL!THANKS

漏洞证明:

见上面详情。

修复方案:

修补措施:
1 修补邮箱绑定位置的CSRF漏洞。
2 修补邮箱绑定位置(是否为登录状态)的验证问题。

版权声明:转载请注明来源 px1624@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-22 14:49

厂商回复:

最新状态:

暂无