当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-064217

漏洞标题:中天票务在线设计缺陷可重置任意账户密码(奇葩设计)

相关厂商:中天票务在线

漏洞作者: HackBraid

提交时间:2014-06-10 18:01

修复时间:2014-07-25 18:02

公开时间:2014-07-25 18:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-07-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

找回密码处多个经典漏洞!
1.输入任意账户,点击下一步,验证码在返回页面里;
2.爆破重置密码也可以。

漏洞证明:

1.找回密码,输入手机号:

t-1.jpg


2.抓包放到repeater里,发现验证码在返回页面里:

t0.jpg


3.或者直接查看源码:

t0.jpg


4.输入验证码后:

t2.jpg


5.经测试,发现爆破也可以:

t1.jpg

修复方案:

建议:
1.测试了好久发现验证码一直没失效,所以建议厂家在验证码的有效时间上做个验证,例如新浪微博,它的手机验证码是10分钟的有效时间,也是6位
2.验证码的有效次数也是一个很好的限制策略,例如你现在还用4位手机验证码,用户收到手机验证码后只能输入3次,3次都不对这个验证码就作废。
3.建议2中有个很大的问题就是短信炸弹,同样参考新浪微博,用户输入找回的账户名后同时需要输入一个图片验证码,然后进入发送手机验证码界面。允许一天同一用户只能接收3次验证码,超过3次后就提示今天的验证码用完了!

版权声明:转载请注明来源 HackBraid@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝