漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-081095
漏洞标题:账户登录接口控制不严导致信息可能泄露
相关厂商:he-pai.cn
漏洞作者: 执念千寻
提交时间:2014-10-28 17:21
修复时间:2014-12-12 17:22
公开时间:2014-12-12 17:22
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-28: 细节已通知厂商并且等待厂商处理中
2014-10-29: 厂商已经确认,细节仅向厂商公开
2014-11-08: 细节向核心白帽子及相关领域专家公开
2014-11-18: 细节向普通白帽子公开
2014-11-28: 细节向实习白帽子公开
2014-12-12: 细节向公众公开
简要描述:
合拍在线某接口存在控制不严导致可暴力破解,并可泄露导致后续个人信息泄露!
详细说明:
1、
合拍在线移动端http://m.he-pai.cn/login/logining 用于对post提交的用户名和密码等信息进行验证,但存在控制不严,可以进行不限次数的登录尝试,导致可以利用社工库进行密码撞库攻击。从而导致账户被控制。
下午下载某涯较早的库,随机选则了1w个密码,通过网页投资页面或者第三点提供的用户名大概100名进行撞库破解。发现至少有2名密码可以被破解。登录其中一名进行下一步实验。
2、
由上一部获取用户名和密码在电脑端正常登录,在该URL:http://www.he-pai.cn/phone/memberCenter/selphongbinding.do 本应隐藏的手机号码信息竟然通过查看源文件可直接获取。同理
http://www.he-pai.cn/bank/memberCenter/selbank.do 本应隐藏的银行卡号码信息可通过查看源文件可直接获取。
至此,此人除身份证外的其他隐私信息均可成功获取!
3、
(此缺陷他们技术人员认为无关紧要,重要程度与否仁者见仁,该明细表本不应公开也不能公开至少得打星号。)
http://www.he-pai.cn/lntpayplandetail/memberCenter/selContract.do 为合同调用接口,该接口似乎判断了用户的cookie,但仍未对该接口进行控制,从而可获取用户投资过的借款标中的《出借人及出借金额明细表》(仅限于该用户有投资过该标才能显示),该明细表中详细记录了该标的所有投资人真实姓名、用户名、身份证、投资金额等一系列隐私数据。
该接口接收CN_FL_NO参数为CT后14位数字,通过简单的判断,即可知道《明细表》所在的大致范围。通过小软件批量提交该范围的URL即可获取该《明细表》
这里给出两个《明细表》
作者注:
可利用明细表对指定人进行撞库,凡是成功者,该用户隐私尽失。可能危及到资金安全,并可被买卖形成新的社工库。
漏洞证明:
成功登陆某人账户,并成功获取该人上面所说的所有信息。姓名 用户名 密码 身份证 手机号码 银行卡号。
修复方案:
你们比我懂
版权声明:转载请注明来源 执念千寻@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:5
确认时间:2014-10-29 18:44
厂商回复:
感谢“执念千寻”的安全检测,我们正在积极处理此问题。
最新状态:
暂无