当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106567

漏洞标题:优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)

相关厂商:优酷

漏洞作者: 小手冰凉

提交时间:2015-04-08 15:06

修复时间:2015-05-23 18:42

公开时间:2015-05-23 18:42

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-08: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开

简要描述:

优酷某API缺陷导致撞库 查询VIP等

详细说明:

第一步:
使用android端优酷登录并抓包,获得如下数据包

捕获1.PNG


打码有点乱不好意思。这里提交的字段有很多,经过进一步精简测试后得出如下可用数据包

捕获2.PNG


可以看出只有这三个关键字段,用户名,密码(md5加密的),另外一个推测是类似于“method”的固定字段。这样就获得了优酷的私有登陆API。
有了登陆请求数据包就不难进行批量撞库,经测试,优酷进行了一定的限制,比如同一个用户测试次数(爆破)不可行,而且速度太快也不行。但是限制的不够彻底,如果程序使用单线程进行撞库还是有效的。
第二步:
使用如上数据包成功登陆后会返回类似token的字段。利用与上面相同的抓包精简方法找到查询VIP的API,{/common/v3/member_vip_info?pid=87c959fb273378eb} 只要带着刚才的"token"访问这个页面就可以获得VIP信息。

漏洞证明:

危害证明
这只是使用了一个公开库撞库的结果,想不到竟然有人vip时间这么久。

捕获3.PNG

修复方案:

1.对API增加校验字段,校验算法用jni实现防止被简单反编译
2.限制单个ip登陆次数,无论是相同用户名还是不同用户名

版权声明:转载请注明来源 小手冰凉@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-04-08 18:41

厂商回复:

多谢提醒,已安排处理!

最新状态:

暂无