WooYun.org

这两天在写一个HTTP扫描器，顺便拿12306测试。 发现一处逻辑缺陷，找回密码的功能位于：
https://kyfw.12306.cn/otn/forgetPassword/initforgetMyPassword

存在三个问题:
1，不要验证码可以猜解 用户名 / 邮箱。输入用户名，点击提取问题，只要返回的existError为N，均是存在的用户。 12306用户太多，大量猜解毫不费力，包括去猜解留了公司邮箱的人。@baidu.com、@youku.com等。 得到这些员工的个人信息，拿到后可以社工，设法渗透对应的商业公司（只是思路，(⊙o⊙)）。
2，找回密码的地方验证码没有立即过期。这是常见的验证码缺陷，问题也很严重。因为验证码可以反复使用，直接被绕过了。个人估计12306是考虑到了性能的关系，才没让它立即过期。
3，通常密码提示答案都非常简单。 早些年通过回答问题破解163邮箱也蛮容易的不是？
综合上述3个问题，演示漏洞利用就很简单了：
1) 固定cookie和验证码
2) 固定问题: 您的出生地是？
3) 固定答案：北京
4) 用户名直接用双拼做字典
2)和3)还可以组合其他问题和答案，如果想破解更多的账号。
有心人可以通过这个漏洞来获取大量个人信息。
为了不影响太多用户，我只登陆了前面两个账号，在获取账号后及时终止了程序。