漏洞概要
关注数(24)
关注此漏洞
漏洞标题:绕过携程某接口双重限制进行扫号(测试3W数据成功破解391个账号)
提交时间:2014-08-06 17:01
修复时间:2014-09-29 20:06
公开时间:2014-09-29 20:06
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-08-06: 该漏洞正等待厂商内部评估
2014-08-06: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-08-26: 细节向核心白帽子及相关领域专家公开
2014-09-05: 细节向普通白帽子公开
2014-09-15: 细节向实习白帽子公开
2014-09-29: 细节向公众公开
简要描述:
携程某处接口双重限制可被绕过进行扫号
测试某N中前3w条数据,成功破解391个账号
可登陆他人账号
详细说明:
测试时偶然发现的
接口页面
企业差旅自助平台
虽然说是企业用的平台,但是也会影响到主站普通用户数据
具体过程思路如下:
首先页面登陆 随便输入一个用户名admin
连续以不同的密码登陆同一个账号,失败5次后系统会锁定该用户30分钟...
于是想着以密码不变,对用户名进行猜解..
但是尝试3次以后会弹出验证码,于是第一次故意输入错误的验证码,页面虽然提示验证码错误,但是发现验证码无变化,所以导致可以重复使用验证码进行fuzz
但是企业的平台为什么会影响到普通用户呢?看下面
先简单测试几个用户名观察一下
成功破解了一个用户
登陆试一下,结果提示:
然后发现成功破解出的用户名的返回页面代码中的一个链接
从链接上看应该是用户中心页面 说明用户密码是正确的,只是非企业用户,于是去主站登陆,成功。
用户名:guo 密码:123456
于是接下来就可以用大数据进行扫号,由于时间关系,仅测试某n前3w条数据
成功破解391个账号
随机登陆部分测试
t
*****gmai*****
m
g
*****@163*****
m
z
*****11@1*****
m
订单中可查看个人信息
漏洞证明:
如上
修复方案:
对登陆接口再限制严格一些。
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-08-06 17:34
厂商回复:
此漏洞为商旅客户漏洞,和散客用户是有区别的,但我们认为问题还是挺严重的,我们会尽快安排人员进行该漏洞的修复工作。
再次感谢您提交此漏洞信息。
最新状态:
暂无