漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-044069
漏洞标题:360任意用户密码修改(危急360手机卫士、360云盘、360浏览器云同步,可泄露通讯录、短信、通话记录等)
相关厂商:奇虎360
漏洞作者: JiuShao
提交时间:2013-11-26 17:00
修复时间:2014-01-10 17:00
公开时间:2014-01-10 17:00
漏洞类型:设计缺陷/逻辑错误
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-26: 细节已通知厂商并且等待厂商处理中
2013-11-26: 厂商已经确认,细节仅向厂商公开
2013-12-06: 细节向核心白帽子及相关领域专家公开
2013-12-16: 细节向普通白帽子公开
2013-12-26: 细节向实习白帽子公开
2014-01-10: 细节向公众公开
简要描述:
360任意用户密码修改(危急360手机卫士、360云盘、360浏览器云同步,可泄露通讯录、短信、通话记录等)
还有某女明星账号哦!
ps:测试了好几个360高管的邮箱,结果人家根本就没用自己的产品...
详细说明:
本小学生记性不好,360账号的密码很及时的忘记了。
于是有了如下情节。
找回账号密码, 然后发了一篇邮件到我邮箱。
http://i.360.cn/findpwd/setpwdfromemail?vc=e%2FwljiqD9WGv%2FwDyS93BghveGh%2FDYG4oMjJwcxGlcnSDZP3qIW4deYwnCpkdbCSZ3ByODXHZYDCx32A46l%2FBXxk6qo5oABIr6ZrywAoPB8DZuX81j%2Bb%2F2w%3D%3D&qid=507290669
这是修改密码的连接地址 有没有发现亮点?
qid=507290669 qid如果被修改别人的是否会有用呢
然后修改为
然后360网站提示可以修改 哦的天啊
那这样的话不是所有的账号都可以改了 为什么会鸡肋呢?
问题是不知道别人的账号啊 进去个人中心也没有这个id提示
别着急 我们继续挖
发现360旗下的一个网站:
http://www.woxihuan.com/
是不是发现了什么? 没错 qid=268296138
这个qid 我们找的是明星苗圃的
然后构造如下链接:
我们寄出神器 Burpsuite
在利用找回密码链接修改密码时 我们截取它post的包
而且这里还发现 我们在知道邮箱 不知道qid的情况下 也可以修改密码:
首先用自己的账号获取一个360找回密码的url,然后在修改密码时截包
我们把这里的uname修改为要修改密码的目标的邮箱
目标邮箱:410316816@qq.com
可以修改指定邮箱的密码
漏洞证明:
苗圃老师的【我喜欢】
苗圃老师的【360云盘】
手机防盗:
360个人中心:
360浏览器收藏夹
还是手机防盗:
通讯录:
登录之后 恢复通讯录
修复方案:
你比我更懂的。 求礼物。求公仔。
版权声明:转载请注明来源 JiuShao@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-11-26 18:44
厂商回复:
感谢乌云白帽子@JiuShao的反馈,我们已紧急修复此漏洞,并将为您提供一份奖品。经过排查:该漏洞是近日网站程序更新出现的问题,我们将全面检查最近存在异常的“密码找回”操作,并冻结可能有风险的账号,提示用户修改密码,以确保用户账号安全。
最新状态:
暂无