漏洞概要
关注数(24)
关注此漏洞
漏洞标题:豆瓣某API扫号和暴力破解的问题
相关厂商:豆瓣
提交时间:2014-06-28 20:31
修复时间:2014-08-12 20:32
公开时间:2014-08-12 20:32
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-06-28: 细节已通知厂商并且等待厂商处理中
2014-06-28: 厂商已经确认,细节仅向厂商公开
2014-07-08: 细节向核心白帽子及相关领域专家公开
2014-07-18: 细节向普通白帽子公开
2014-07-28: 细节向实习白帽子公开
2014-08-12: 细节向公众公开
简要描述:
豆瓣网API扫号和暴力破解的小问题
详细说明:
还是一年多前曾经提到过的API:
http://www.douban.com/j/app/login?email={email}&password={password}&app_name=radio_desktop_win&version=50
现在依然存在的问题是:
1) 可以拿泄露的库扫号,当然,用很老的库扫出来的号已经提示被临时锁定了,这一点豆瓣网是做得非常好的。说明豆瓣重视安全
2) 错误提示过于详细,可以猜解邮箱/手机号是否存在
2) 可以在只知道手机号或邮箱的情况下批量扫号。
测试发现在一定时间内是可以错误一定次数的。
这个不太好利用,但仍旧可以撞号。
比如: 维护一个10万账号的队列,以及一个top 100的密码队列,批量撞号。
一旦遇到被锁定,就把账号挂到队列尾部,等待下次继续撞号。如此反复。
可参考我之前扫人人网账号的方式:
WooYun: 人人网暴力破解及两处验证码安全问题[破解10万,成功2123]
漏洞证明:
简单破解几位豆瓣邮箱的用户:
猜解豆瓣用户名:
修复方案:
只是一点建议,可参考:
1) 太老版本的APP,可不再支持调用API,强制要求更新
2) APP上也需要考虑加入验证码,在某些条件下强制要求输入
3) 错误提示不要过于详细
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-06-28 23:07
厂商回复:
谢谢反馈,立即组织修复〜
最新状态:
暂无