当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100588

漏洞标题:好贷网重置任意用户密码漏洞

相关厂商:好贷网

漏洞作者: 恋锋

提交时间:2015-03-11 09:51

修复时间:2015-03-16 09:52

公开时间:2015-03-16 09:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-11: 细节已通知厂商并且等待厂商处理中
2015-03-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

好贷网作为一个经融网站,号称是中国最大的贷款搜索和服务平台,存在重置任意密码漏洞,影响整个系统所有用户账户资金安全,请重视!

详细说明:

1、本次测试发现使用手机号码找回密码处存在设计缺陷,在找回密码第二步(信息确认)时可绕过短信码校验。
2、首先使用已知手机号码进行一次正常的找回密码流程,记录第二步(信息确认)时返回的响应包,如下:

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 10 Mar 2015 13:54:21 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Vary: Accept-Encoding
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Pragma: no-cache
Cache-control: private
X-Powered-By: ThinkPHP
Content-Length: 6613
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>好贷网 - 找回密码</title>
<link rel="stylesheet" type="text/css" href="/src/c/password/base.css"/>
<link rel="stylesheet" type="text/css" href="/src/c/password/findpwd1.css"/>
<script type="text/javascript" src="/src/j/jquery-1.8.0.min.js"></script>
<script type="text/javascript" src="/src/j/common.js"></script>
<script src="/src/j/home/login_findpwd.js?v=1503102154" type="text/javascript"></script>
</head>
<body>
<div class="re_header">
<div class="head_top auto">
<div class="head_left fl">
<li><a href="http://www.haodai.com" >好贷首页</a></li>
<li><a href="http://www.haodai.com/xiaofei/" >消费贷款</a></li>
<li><a href="http://www.haodai.com/qiye/">企业贷款</a></li>
<li><a href="http://www.haodai.com/gouche/" >购车贷款</a></li>
<li><a href="http://www.haodai.com/goufang/" >购房贷款</a></li>
<li><a href="http://www.haodai.com/zixun/" >贷款资讯</a></li>
<li><a href="http://www.haodai.com/wenda/">贷款问答</a></li>
<div class="clear"></div>
</div>
<div class="head_right fr">好贷网,好贷款! 客服热线:<strong>400-8055-855</strong></div>
<div class="clear"></div>
</div>
</div>
<div class="re_main">
<div class="top clearfix wrap">
<a class="left mr" href="http://www.haodai.com"><img src="/src/i/logo.png" width="88" height="82" /></a>
<div class="left mima">
<!-- <span class="zhoahui">信贷员找回密码</span><br />
<span class="find">Find Password</span>-->
<span><a class="left mr" href="http://www.haodai.com/ajax/getpasswd"><img src="/../src/i/wenda/zhaohui.jpg" width="199" height="67" /></a></span>
</div>
</div>
<div class="mainr">
<div class="mat01">
<div class="mat01_left"></div>
<div class="mar01_center">
<!--找回密码第一步-->
<div class="box clearfix wrapper">
<ul class="box-ul clearfix">
<li class="one-mo left"><a class="current">1.输入登录名</a></li>
<li class="two-que-que left"><a class="current">2.信息确认</a></li>
<li class="three-chong-zhi left"><a class="current">3.重置密码</a></li>
<li class="four-gai left"><a>4.密码修改成功</a></li>
</ul>
<form class="clearfix findpwd3" action="/ajax/getpasswd/act/success" method="post" onsubmit="return czmm();">
<div class="clearfix">
<div class="left">
<label>输入新密码:</label><br />
<input id="pwdid" name="pwd" type="password" class="text1" value="" onfocus="pdmm(this, 'retImgpwd1');" onblur="pdmm(this, 'retImgpwd1');"/>
</div>
<div id="retImgpwd1" class="left"></div><br/>
</div>
<div class="clearfix">
<div class="left">
<label>确认新密码:</label><br />
<input id="pwdid1" name="pwd1" type="password" class="text2" value="" onfocus="pdmm(this, 'retImgpwd2');" onblur="pdmm(this, 'retImgpwd2');"/>
</div>
<div id="retImgpwd2" class="left"></div><br />
</div>
<input type="submit" class="button" value="提交" />
</form>
</div>
<!--密码修改成功第四步-->
</div>
<div class="mat01_right"></div>
<div class="clear"></div>
</div>
</div>
</div>
<div class="bottom wide">
<!--信贷员底部图-->
<div class="bottom" style="height: 1px;border-top: 1px solid #d0d0d0;width:100%">
<div class="foot">
<p class="footp1">好贷网一站式贷款搜索平台,免费为您提供各大银行、小贷公司、典当行的正规贷款,各类个人贷款、个人信用贷款、个人抵押贷款、企业信用贷款、企业抵押贷款任你选。</p>
<p class="footp2">
<a href="http://www.haodai.com/wenzhang/about/cate_id/1" target="_blank" rel="nofollow">关于好贷</a> <span>|</span>
<a href="http://www.haodai.com/xdy/login/register" target="_blank" rel="nofollow">信贷员免费注册</a> <span>|</span>
<a id="footer_calc" href='http://www.haodai.com/calc/' target="_blank">贷款计算器</a><span>|</span>
<a href="http://www.haodai.com/wenzhang/about/cate_id/6" target="_blank" rel="nofollow">网站使用条款与声明</a><span>|</span>
<a href="http://www.haodai.com/map/" target="_blank">网站地图</a><span>|</span>
<a href="http://www.haodai.com/wenzhang/about/cate_id/2" target="_blank" rel="nofollow">联系我们</a>
</p>
<p class="footp3">Copyright © 2012-2014 haodai.com All Rights Reserved. 京ICP备11015456号-5 京ICP证110311号 京公网安备11010102001350号</p>
<p class="footplink">
<a id='___szfw_logo___' rel="nofollow" class="bottomIcon cxwz" href='https://search.szfw.org/cert/l/CX20140723008871008561' target='_blank'></a>
<script type='text/javascript'>(function(){document.getElementById('___szfw_logo___').oncontextmenu = function(){return false;}})();</script>
</p>
</div>
</div>
</div>
</body>
</html>


3、再做一次找回密码操作,如下图,输入手机号与图验后下发短信验证码

1.png


4、在第二步中输入任意短信码(此处为123456),可以看到返回的响应提示短信码错误

2.png


5、用第一次重置密码操作得到的响应包替代此处,如下

3.png


6、释放请求后,进入重置密码页面,重置密码为333eee

4.png


7、重置密码成功,可利用该密码成功登录系统

5.png

漏洞证明:

见漏洞详细说明

修复方案:

完善认证机制,在前端和服务端同时校验

版权声明:转载请注明来源 恋锋@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-16 09:52

厂商回复:

最新状态:

2015-03-19:已跟进。