当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049007

漏洞标题:百度安全中心手机版设置有问题

相关厂商:百度

漏洞作者: cnrstar

提交时间:2014-01-16 15:19

修复时间:2014-03-02 15:19

公开时间:2014-03-02 15:19

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-01-16: 细节已通知厂商并且等待厂商处理中
2014-01-16: 厂商已经确认,细节仅向厂商公开
2014-01-26: 细节向核心白帽子及相关领域专家公开
2014-02-05: 细节向普通白帽子公开
2014-02-15: 细节向实习白帽子公开
2014-03-02: 细节向公众公开

简要描述:

我感觉算是很大的风险了,小伙伴们怎么看

详细说明:

手机客户端(只测试安卓的)打开不需要任何验证,直接进入了。。
带来的风险就是:手机丢了或者被别人"借用"完全可以控制百度账户。
我测试了重置我的百度密码https://passport.baidu.com/?getpassindex&tpl=mn&u=http%3A%2F%2Fwww.baidu.com%2F,完全没问题啊,扫一下二维码直接重置。
如果只是百度的贴吧啊什么的还无所谓,重点是现在百度还有理财产品,我在8.baidu.com里放的钱也受到很大的风险,如果手机一丢,里面的钱也就杯具了。。

漏洞证明:

还有个问题,今天在考虑手机丢了这回事,如果手机一丢会导致很多关联的帐号密码全部受风险,各种密码都很容易被重置掉。关于怎么解决这个问题有个想法:
我们是不是可以做个类似token+pin那种,在利用手机重置密码的时候也增加一个pin码,也就是同时输入"PIN+手机号"才可以发从重置短信。
当然这样子带来的就是用户需要额外记住一个PIN,可能会影响用户体验,那是否可以作为可选项呢?给那些愿意记住PIN增加安全性的人用。
或者如果忘记PIN就自己申诉,这样子就不用担心手机丢了。。

修复方案:

像QQ的安全中心或者支付宝那样子加个进入密码或者图案验证。

版权声明:转载请注明来源 cnrstar@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-01-16 15:53

厂商回复:

感谢建议,我们会持续更新完善安全策略。

最新状态:

暂无