当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050862

漏洞标题:佳品网验证码设计缺陷可爆破(佳品网CTO躺枪)

相关厂商:佳品网

漏洞作者: niliu

提交时间:2014-02-13 17:02

修复时间:2014-03-30 17:03

公开时间:2014-03-30 17:03

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-13: 细节已通知厂商并且等待厂商处理中
2014-02-13: 厂商已经确认,细节仅向厂商公开
2014-02-23: 细节向核心白帽子及相关领域专家公开
2014-03-05: 细节向普通白帽子公开
2014-03-15: 细节向实习白帽子公开
2014-03-30: 细节向公众公开

简要描述:

设计缺陷导致可登陆他人账号,泄露个人地址,手机,邮箱,消费记录,涉及账户金额,可消费。
佳品网CTO躺枪....

详细说明:

作为奢侈品电商网站,用户账户涉及到金额,敏感信息等。所以就提交上来了。
其实漏洞并没有什么技术性,只是验证码设计缺陷,没有对验证码有效性做限制(虽然验证码很强大),导致可重复使用验证码。进而导致可以暴力破解用户密码。
也可以对固定密码(弱口令),进行对用户名或者手机号,邮箱进行批量破解。两百w的用户,相信成功率会很高。
撞库的话,几率也很高。
我就不大批量的测试,只是以弱口令123456来证明一下,漏洞真实存在即可。
首先登陆时,输错了验证码,但是发现验证码无变化,所以猜测可以暴力破解。
登陆时抓包

POST /member/loginsubmit HTTP/1.1
Host: user.jiapin.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://user.jiapin.com/member/login?url=http://user.jiapin.com/member/backpassword
Content-Length: 87
Cookie: @#¥¥
Pragma: no-cache
Cache-Control: no-cache
login_name=§admin§&login_password=123456&login_verify=4&true_memory=no&time=1392279817388


我就对用户名进行一个破解测试

3.jpg


测试了不到100个用户名,成功了很多
随便登陆几个账号

4.jpg


5.jpg


6.jpg


然后我发现了一个佳品网内部的账户,而且还是佳品网CTO william 的账号。呵呵,账户里泄露了他的地址,手机,邮箱,消费记录,余额等等。
消费金额还不少呢...

77.jpg


88.jpg


余额还有120

9.jpg


漏洞证明:

上面

修复方案:

大峰会修昂!

版权声明:转载请注明来源 niliu@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-02-13 17:23

厂商回复:

你是?

最新状态:

2014-02-18:礼物已发出,请确认,再次感谢,希望更多关注佳品网!

2014-02-19:已经修复,感谢,请再次关注佳品网